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1. 改版 背景 


《Linux 操作 系统 与 实 训 》 一 书 在 2015 年 1 月 第 一 次 公开 出 版 , 距 今 已 4 年 时 间 , 在 此 期 
间 重 印 5 次 ,读者 在 肯定 本 书 的 同时 ,也 对 本 书 提 出 了 一 些 建 议 ,特别 是 版 本 升级 方面 的 建 
议 尤为 突出 。 

鉴于 此 , 现 将 操作 系统 版 本 直接 由 Red Hat Enterprise Linux 5. 4/CentOS 5. 4 升级 到 
CentOS 7.4, 并 且 完 全 兼容 Red Hat Enterprise Linux 7.4。 除 升级 系统 版 本 外 ,新 版 中 还 删 
除 部 分 陈旧 的 内 容 , 增 加 了 firewall、nmcli、systemctl、SELinux 等 相关 内 容 ; 采 取 知 识 点 微 
课 和 项 目 实 训 幕 课 的 形式 ,丰富 教学 配套 资源 。 


2. 本 书 特点 


(1) 本 书 是 国家 精品 资源 共享 课程 的 配套 教材 

本 书 是 国家 级 精品 课程 和 国家 精品 资源 共享 课程 “Linux 网 络 操作 系统 ”的 配套 教材 ， 
教学 资源 丰富 ,所 有 教学 录像 和 实 训 视频 全 部 放 在 精品 课程 网 站 上 供 读 者 下 载 学 习 和 在 线 
收看 。 另 外 ,教学 中 经 常会 用 到 的 PPT 课件 .电子 教案 .学习 论坛 .实践 教学 .授课 计划 、. 课 
程 标准 .题库 .教师 手册 .学习 指 南 .习题 解答 、 补 充 材料 等 内 容 也 都 放 在 了 国家 精品 资源 共 
享 课程 网 站 上 。 国 家 精品 资源 共享 课程 网 址 为 : http://www. icourses. cn/coursestatic/ 
course_2843. html。 

(2) 实 训 内 容 源 于 企业 实际 应 用 ,“ 微 课 十 莫 课 ”体现 “ 教 、 学 、 做 ”的 完美 统一 

在 专业 技能 的 培养 中 ,突出 实战 化 要 求 ,贴近 市 场 ,贴近 技术 。 本 书 所 有 项 目 实 训 都 源 
于 真实 的 企业 应 用 案例 。 每 章 后 面 增加 “项 目 实录 ?内容 ,知识 点 微 课 项目 实 训 幕 课 互相 配 
合 , 读 者 可 以 随时 进行 工程 项 目的 学 习 与 实践 。 


3. 配套 的 主要 教学 资源 


(1) 全 部 章节 的 知识 点 微 课 和 全 套 的 项 目 实 训 葛 课 (扫描 书 中 二 维 码 )30 多 个 。 

(2) 教学 课件 .电子 教案 .授课 计划 、 项 目 指导 书 、 课 程 标准 、 拓 展 提升 .项 目 任 务 单 、 实 
训 指导 书 等 。 

(3) 参考 各 服务 器 的 配置 文件 。 

(4) 大 赛 试题 及 答案 .试卷 A .试卷 B、 习 题 及 答案 (向 作者 索要 ) 。 


国 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


4. 关于 编者 


本 书 由 甘肃 民族 师范 学 院 县 小 平 主编 。 杨 云 . 杨 昊 龙 、 张 晖 、 王 世 存 、 杨 梁 玲 、 付 强 、 朱 晓 
彦 . 唐 柱 斌 、 宁 方 明 、 刁 琦 . 刘 景 林 等 人 也 参与 了 本 书 的 编写 。 本 书 编者 均 长 期 工作 在 网 络 教 
学 和 网 络 管理 第 一 线 , 积 累 了 较为 深厚 的 理论 知识 和 丰富 的 实践 经 验 。 本 书 是 这 些 理论 和 
经 验 的 一 次 总 结 与 升华 。 

订购 教材 后 请 向 编者 索要 配套 教学 资源 。Windows & Linux( 教 师 群 ) :189934741。 


编 者 
2019 年 3 月 


o 中 轴 性 


搭 连 与 测试 Linux 服务 器 eee 
庆 丙 定 寺 二 要 可 条 旺 
1.1.1 认识 Linux 的 前 世 与 今生 et 
1 部 角 下 bug 称 系 绪 梅 站 全 sea 

1.1.3 认识 Linux 的 版 本 pp 
1 4 
1.1.5 


本 加 CentOS 
1.5 CentOS 7 的 主要 特点 

使 用 VM 虚拟 机 安装 CentOS 7 a 
1. 2.2 安装 并 配置 CentOS 7 操作 系统 pp 7 
重生 root 管理 员 密 码 
使 用 RPM .pp 
使 用 yum 软件 仓库 
systemd 初始 化 进程 …… 
启动 Shell 
配置 常规 网 络 
1.8.1 检查 并 设置 有 线 处 于 连接 状态 …… 
1. 8.2 设置 主机 名 
1. 8.3 使 用 系统 菜单 配置 网 络 
| 4 
1 5 


通过 网 卡 配置 文件 配置 网 络 …… 
使 用 图 形 界面 配置 网 络 ……… 
使 用 nmcli 命令 配置 网 络 


~ go 
办 


练习 是 ~ 
项 目 实录 : Linux 系统 的 安装 与 基本 配置 … 
实 训 : 安装 CentOS 操作 系统 ee 


使 用 常用 的 Linux 命令 … 
Linux 命令 基础 - 

2.1.1 了 解 Linux 命令 的 特点 …… 
2.1.2 后 台 运 行程 序 oe 
熟练 使 用 文件 目录 类 命令 ……………- 

2.2.1 熟练 使 用 浏览 目录 类 命令 …… Ws 
2.2.2 热 练 使 用 浏览 文件 类 俞 令 1 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


2.2.3 熟练 使 用 目录 操作 类 命令 … 44 
2.2.4 熟练 使 用 cp 命令 … 45 
2.2.5 熟练 使 用 文件 操作 类 命令 ee 4 
熟练 使 用 系统 信息 类 命令 ee 55 
当红 使 用 进程 管理 类 命令 6 
对 目 实 总 ， 使 用 Linux 基本 命令 66 
| i 


kb cc LOS 
oo 上 口上 上 


第 3 章 Shell 与 Vim 编辑 器 - ss 医 作 
3.1 Shell pp 69 
3.1.1 Shell 概述 … Pe 

3. 1.2 Shell 环境 变量 … | 

“站 榴 天 /而 站 定向 与 千 驯 ea 
ll 

3.2 Vim 编辑 器 … * 82 
3.2.1 Vim 的 启动 与 退出 … . 82 
3.2.2 Vim 的 工作 模式 ， . 83 

汪汪 等 习 是 6 
项目 实录 一， Shell 编程 ee BT 

实 训 一 : Shell 的 使 用 .88 


第 4 章 ”用 户 和 组 管理 … 
4.1 理解 用 户 账户 和 组 群 … 
4.2 理解 用 户 账户 文件 和 组 群 文件 92 
4.2.1 理解 用 户 账 户 文件 92 
4.2.2 理解 组 群 文件 94 
4.3 管理 用 户 账户 95 
4.3.1 新 建 用 户 95 
4.3.2 设置 用 户 账户 口令 96 
4.3.3 维护 用 户 账 户 … .98 
4.4 管理 组 群 …………… .100 


第 5 


大 大庆 
© 


章 
5.1 


5.2 


5.3 


5.4 
5.5 


4.4.2 为 组 群 添加 用 户 … 
使 用 su 命令 与 sudo 命令 1101 
使 用 用 户 管理 器 管理 用 户 和 组 群 ee 105 
4.6.1 安装 system-config-users 工具 ee 105 
ti 0 
i 管理 用 户 和 组 - 本 


5.1.1 认识 文件 系统 … Ss 二 遂 衣 
5.1.2 理解 Linux 人 条 洒 作 时 生生 本 全 114 
5.1.4 Linux 文件 权限 管理 . 7 
5.2.2 Linux 中 的 软 RAID pp 131 
| 压 益 了 铺设 年 的 设计 与 淮 各 < 1140 
练习 题 oocooooooooooooooooooooooooooooooooooo 

项 目 实录 eee ssa aras sar srs sse sear sass rss 

项 目 实录 一 : 文件 权限 管理 
项 目 实录 二 : 文件 系统 管理 
项 自 实录 三 LYM 闻 届 关 管理 网 直人 
项 目 实录 四 : 动态 磁盘 管理 pp 148 
实 训 ; 文件 系统 和 磁盘 管理 ee 149 


DHCP 服务 器 配置 2 
了 解 DHCP 服务 …- 
6.1.1 DHCP 服务 简介 …… .152 
6. 1.2 ”DHCP 服务 的 工作 原理 


图 ”Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


6.2 


~ i i i 
wo 和 Nma 


TD 0D 
6.2.1 安装 DHCP 服务 ……… 


6.2.2 配置 DHCP 主 配置 文件 


练习 题 ee 


DNS 服务 器 配置 TT 
WD NS en 
”169 
“170 
vr = ha eT 
mi Wa 
9 六 本 DMS 服务 加 的 本 秆 50 
配置 主 DNS 服务 器 实例 eee 
使 用 工具 测试 DNS pe 


7.1.1 DNS 概述 
7.1.2 DNS 查询 模式 
7.1.3 DNS 域名 空间 结构 


By lh, NS ee a 
"» 191 
=» 92 
*» 194 
… 194 
" 196 


安装 、 启 动 和 停止 NFS 服务 器 
配置 NFS 服务 ………………… 


了 解 NFS 服务 的 文件 存 取 权限 … 


在 客户 端 挂 载 NFS 文件 系统 … 
排除 NFS 故障 …………… 


155 


-… 155 
-… 155 
机 里 DHCP 服务 器 应 用 案 酌 eeeeoere eco 


160 


165 
167 


169 
169 


171 
172 
172 
174 
175 
176 
176 
176 
180 
181 
183 
184 
185 


189 
189 
189 
190 
190 


198 


0 
8.9 实 训 : NFS 服务 器 配置 


第 9 章 Samba 服务 器 配置 2203 
9.1 Samba 简介 ………… 0 
9.2 配置 Samba 服务 ee 
9.2.1 安装 并 启动 Samba 服务 ……… 
9.2.2 了 解 Samba 服务 器 配置 的 工作 流程 ee . 
让 让 主要 而 性 交尾 Binb Con dnb 
员 肥 二 曲直 站 服务 榴 奈 运 交 件 和 宇宙 赤 要 二 让 向 册 呈 间 全 
9.3，i66t 服务 器 实例 解析 03soice i 
9.4 配置 Samba 客户 请 e213 
9.7 实 训 ， Samba 服务 器 的 配置 pp 218 


第 读音 罗 atie 服 务 四 机 属于 1055 训 2 
10. 1 认识 Web 服务 20 
10.2 安装 启动 与 停止 Apache 服务 … Sd 

10.2.1 安装 Apache 相关 软件 ee a 

10.2.2 让 防火 墙 放行 并 设置 SELinux 为 允许 pp 222 

10.2.3 测试 httpd 服务 是 否 安装 成 功 和 223 

认识 Apache 服务 器 的 配置 文件 . 24 

ae 服务 器 实例 . Sd 

配置 虚拟 主机 … PA na 

10.6.1 配置 菇 于 下 地 址 的 进 拟 主机 05650506030iesereinis ssens 235 

10. 6.2 配置 基于 域名 的 虚拟 主机 … a ee 

10. 6.3 ”基于 端口 号 的 虚拟 主机 的 配置 ee 239 

10.7 配置 用 户 身份 认证 … ee a en 

10.8 练习 题 … 44 

10.9 项 目 实录 -- 5 

10. 10 实 训 : Apache 服务 器 的 配置 - 2246 


中 on 


第 11 章 FTP 服务 器 配置 
这 .IT 议 训 FTP 服务 seen 
11.1.1 FTP 工 作 原理 … 

证 ,正信 脸 故 用户 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


pi i fid dd 


oN wyv 


oo 上 思 中 oo 


13. 2 


安装 ,启动 与 停止 vsftpd 服务 ee 
认识 vsftpd 的 配置 文件 ……… 
配置 匿名 用 户 FTP 实例 

配置 本 地 模式 的 常规 FTP 服务 器 实例 ee 253 
设置 vsftp 庚 氢 际 号 ee 
FTP 服务 器 的 配置 … a 


电子 邮件 服务 器 配置 …… 
了 解 电子 邮件 服务 工作 原理 … 
1 
1 


光 与 电子 邮件 相关 的 秩 议 2 65 
配置 Dovecot 服务 程序 …………………: S 

配置 一 个 完整 的 收发 邮件 服务 器 并 测试 … 
合用 Cyrus-SASL 实现 SMTP 认证 …… 
Fi 电子 邮件 服务 器 的 配置 … Pe 032 的 证 昌 


权重 防火 二 吉本 是 顾 菇 三 下 
| 认识 防火 墙 … 人 PP .. 286 
13.1.2 iptables 与 firewalld ee :287 
配置 iptables 防火 墙 ……………… .. 287 
13. 2.1 安装 .启动 iptables se 
13.2.2 配置 iptables 规则 … 
使 用 firewalld 服务 2290 
配置 NAT 服务 器 2296 
13.4.1 实现 NAT( 网 络 地 址 转换 ) pp 296 
13.4.2 NAT 综 合 案例 pp 298 
13. 5.1 代理 服务 器 概述 … 0 3301 
13.5.2 安装、 启动 ,停止 与 随 系统 启动 squid 服务 : 

13. 5.3 配置 squid 服务 器 


13.6 


13.8 


参考 文献 


squid 和 NAT 企业 实战 与 应 0 


练习 题 … 
项 目 实录 … 


13. 8. 1 项 目 实录 一 : 配置 与 管理 iptables 防火 墙 ……… 
13. 8.2 ”项目 实 录 二 : 配置 与 管理 squid 代理 服务 器 ee 


实 训 : Linux 防火 墙 的 配置 


第 1 章 
搭建 与 测试 inux 服 务 器 


Linux 是 当前 有 很 大 发 展 潜力 的 计算 机 操作 系统 ,Internet 的 旺盛 需求 正 
推动 着 Linux 的 发 展 热潮 一 浪 高 过 一 浪 。 自 由 与 开放 的 特性 加 上 强大 的 网 络 
功能 使 Linux 在 21 世纪 有 着 无 限 的 发 展 前 景 。 本 章 主 要 介绍 Linux 系统 的 安 
装 与 简单 配置 。 


。 了 解 Linux 系统 的 历史 、 版 权 以 及 Linux 系统 的 特点 。 
@ 。 了 解 CentOS 7 的 优点 及 其 家 族 成 员 。 


。 掌握 如 何 搭建 CentOS 7 服务 器 。 
。 掌握 如 何 配置 Linux 常规 网 络 和 如 何 测试 Linux 网 络 环境 。 


1.1 认识 Linux 操作 系统 


1.1.1 认识 Linux 的 前 世 与 今生 


1. Linux 系统 的 历史 

Linux 系统 是 一 个 类 似 UNIX 的 操作 系统 ,Linux 系统 是 UNIX 在 计 同 吧 
算 机 上 的 完整 实现 , 它 的 标志 是 一 个 名 为 Tux 的 可 爱 小 企鹅, 如 图 1-1 所 示 。 
UNIX 操作 系统 是 1969 年 由 K. Thompson 和 D. M. Richie 在 美国 贝尔 实验 
室 开发 的 一 个 操作 系统 ,由 于 它 具 备 良 好 而 稳定 的 性 能 ,其 迅速 在 计算 机 中 
得 到 广泛 的 应 用 ,在 随后 的 几 十 年 中 UNIX 操作 系统 又 做 了 不 断 的 改进 。 

1990 年 ,芬兰 人 Linus Torvalds 接触 了 为 教学 而 设计 的 Minix 系统 后 ,开始 着 手 研究 编 
写 一 个 开放 的 与 Minix 系统 兼容 的 操作 系统 。1991 年 10 月 5 日 ,Linus Torvalds 在 赫 尔 辛 
基 技 术 大 学 的 一 台 FTP 服务 器 上 发 布 了 一 个 消息 ,这 也 标志 着 Linux 系统 的 诞生 。Linus 
Torvalds 公布 了 第 一 个 Linux 的 内 核 版 本 0. 02 版 。 在 最 开始 时 ,Linus Torvalds 的 兴趣 在 
于 了 解 操 作 系统 的 运行 原理 ,因此 Linux 早期 的 版 本 并 没有 考虑 最 终 用 户 的 使 用 ,只 是 提供 
了 最 核心 的 框架 ,使 得 Linux 编程 人 员 可 以 享受 编制 内 核 的 乐趣 ,这 样 也 保证 了 Linux 系统 
内 核 的 强大 与 稳定 。Internet 的 兴起 使 得 Linux 系统 也 能 十 分 迅速 地 发 展 , 很 快 就 有 许多 程 
序 员 加 入 到 Linux 系统 的 编写 行列 中 。 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


随 着 编程 小 组 的 扩大 和 完整 的 操作 系统 基础 软件 的 出 现 ,Linux 开发 人 员 认 识 到 ， 
Linux 已 经 逐渐 变 成 一 个 成 熟 的 操作 系统 。1992 年 3 月 ,内 核 1.0 版 本 的 推出 标志 着 Linux 
第 一 个 正式 版 本 的 诞生 。 这 时 能 在 Linux 上 运行 的 软件 已 经 十 分 广泛 ,从 编译 器 到 网 络 软 
件 以 及 X-Window 都 有 。 现 在 , Linux 凭借 优秀 的 设计 、 不 凡 的 性 能 ,加 上 IBM. Intel、 
AMD、Dell、Oracle、Sybase 等 国际 知名 企业 的 大 力 支持 ,市 场 份额 逐步 扩大 ,逐渐 成 为 主流 
操作 系统 之 一 。 


2. Linux 的 版 权 问 题 

Linux 是 基于 Copyleft( 无 版 权 ) 的 软件 模式 进行 发 布 的 ,其 实 Copyleft 是 与 Copyright 
(版 权 所 有 ) 相 对立 的 新 名 称 , 它 是 GNU 项 目 制定 的 通用 公共 许可 证 (General Public 
License,GPL)。GNU 项 目 是 由 Richard Stallman 于 1984 年 提出 的 ,他 建立 了 自由 软件 基 
金 会 (FSF) 并 提出 GNU 计划 的 目的 是 开发 一 个 完全 自由 的 .与 UNIX 类 似 但 功能 更 强大 的 
操作 系统 ,以 便 为 所 有 的 计算 机 使 用 者 提供 一 个 功能 齐全 ,性 能 良好 的 基本 系统 , 它 的 标志 
是 角 马 ,如 图 1-2 所 示 。 


A 
图 1-1 Linux 的 标志 是 小 企鹅 图 1-2 GNU 的 标志 是 角 马 


GPL 是 由 自由 软件 基金 会 发 行 的 用 于 计算 机 软件 的 协议 证 书 , 使 用 证 书 的 软件 称 为 自 
由 软件 [后 来 改名 为 开放 源 代码 软件 (Open Source Software)]。 大 多 数 的 GNU 程序 和 超 
过 半数 的 自由 软件 都 使 用 它 ,GPL 保证 任何 人 都 有 权 使 用 .复制 和 修改 该 软件 。 任 何人 都 
有 权 取 得 .修改 和 重新 发 布 自由 软件 的 源 代 码 ,并 且 规 定 在 不 增加 附加 费用 的 条 件 下 可 以 得 
到 自由 软件 的 源 代 码 。 同 时 还 规定 自由 软件 的 衍生 作品 必须 以 GPL 作为 它 重新 发 布 的 许 
可 协议 。Copyleft 软件 的 组 成 非常 透明 化 , 当 出 现 问题 时 ,就 可 以 准确 地 查 明 故 障 原 因 , 及 
时 采取 相应 对 策 , 同 时 用 户 不 用 再 担心 有 “后 门 "的 威胁 。 


GNU 这 个 名 字 使 用 了 有 趣 的 递归 缩写 , 它 是 GNU's Not UNIX 的 缩写 形 
过 式 。 由 于 递归 缩写 是 一 种 在 全 称 中 递归 引用 它 自身 的 缩写 ,因此 无 法 精确 地 解 
小 资料 释 出 它 的 真正 全 称 。 


总 之 ,Linux 操作 系统 作为 一 个 免费 自由、 开放 的 操作 系统 , 它 的 发 展 势 不 可 挡 。 
1.1.2 理解 Linux 体系 结构 


Linux 一 般 包 括 3 个 主要 部 分 : 内 核 (Kernel) 、 命 令 解 释 层 (Shell 或 其 他 操作 环境 ) 、 实 
用 工具 。 


1. 内 核 
内 核 是 系统 的 心脏 ,是 运行 程序 和 管理 磁盘 及 打印 机 等 硬件 设备 的 核心 程序 。 由 于 内 
核 提供 的 都 是 操作 系统 最 基本 的 功能 ,如 果 内 核发 生 问题 ,整个 计算 机 系统 就 可 能 会 崩溃 。 
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Linux 内 核 的 源 代码 主要 用 C 语言 编写 ,只 有 部 分 与 驱动 相关 的 源 代码 用 汇编 语言 
Assembly 编写 。Linux 内 核 采 用 模块 化 的 结构 ,其 主要 模块 包括 存储 管理 .CPU 和 进程 管 
理 , 文 件 系统 管理 .设备 管理 和 驱动 .网络 通信 以 及 系统 的 引导 、 系 统 调用 等 。Linux 内 核 的 
源 代码 通常 安装 在 /usr/src 目录 下 ,可 供用 户 查 看 和 修改 。 


2. 命令 解释 层 

Shell 是 系统 的 用 户 界 面 ,提供 了 用 户 与 内 核 进行 交互 操作 的 一 种 接口 。 它 接收 用 户 输 
入 的 命令 ,并 且 把 它 送 给 内 核 去 执行 。 

操作 环境 在 操作 系统 内 核 与 用 户 之 间 提 供 操作 界面 , 它 可 以 描述 为 一 个 解释 器 。 操 作 
系统 对 用 户 输入 的 命令 进行 解释 ,再 将 其 发 送 到 内 核 。Linux 存在 几 种 操作 环境 ,分 别 是 ， 
桌面 (Desktop) 窗口 管理 器 (Window Manager) 和 命令 行 Shell(Command Line Shell) 。 
Linux 系统 中 的 每 个 用 户 都 可 以 拥有 自己 的 用 户 操作 界面 ,根据 自己 的 要 求 进行 定制 。 


3. 实用 工具 

标准 的 Linux 系统 都 有 一 套 叫 作 实用 工具 的 程序 ,它们 是 专门 的 程序 ,如 编辑 器 、 执 行 
标准 的 计算 操作 等 。 用 户 也 可 以 产生 自己 的 工具 。 

实用 工具 可 分 为 以 下 3 类 。 

。 编辑 器 : 用 于 编辑 文件 。 

。 过 滤器 : 用 于 接收 数据 并 过 滤 数 据 。 

。 交互 程序 : 允许 用 户 发 送信 息 或 接收 来 自 其 他 用 户 的 信息 。 

Linux 的 编辑 器 主要 有 Ed、Ex、Vi、Vim 和 Emacs。Ed 和 Ex 是 行 编辑 器 ,Vi、Vim 和 
Emacs 是 全 屏幕 编辑 器 。 

Linux 的 过 滤器 (Filter) 读 取 用 户 文件 或 在 其 他 设备 中 输入 数据 。 

交互 程序 是 用 户 与 机 器 的 信息 接口 。Linux 是 一 个 多 用 户 系统 , 它 必须 和 所 有 用 户 保 
持 联 系 。 


1.1.3 认识 Linux 的 版 本 
Linux 的 版 本 分 为 内 核 版 本 和 发 行 版 本 两 种 。 


1. 内 核 版 本 

内 核 是 系统 的 心脏 ,是 运行 程序 和 管理 磁盘 及 打印 机 等 硬件 设备 的 核心 程序 , 它 提供 了 
一 个 在 裸 设备 与 应 用 程序 间 的 抽象 层 。 例 如 ,程序 本 身 不 需要 了 解 用 户 的 主板 芯片 集 或 磁 
盘 控 制 器 的 细节 ,就 能 在 高 层次 上 读 写 磁盘 。 

内 核 的 开发 和 规范 一 直 由 Linus 领导 的 开发 小 组 控制 着 ,版 本 也 是 唯一 的 。 开 发 小 组 
每 隔 一 段 时 间 公布 新 的 版 本 或 其 修订 版 .从 1991 年 10 月 Linus 向 世界 公开 发 布 的 内 核 
0.0. 2 版 本 (0. 0. 1 版 本 功能 相当 简陋 ,所 以 没有 公开 发 布 ) 到 目前 最 新 的 内 核 4. 18. 8 版 本 ， 
Linux 的 功能 越 来 越 强 大 。 

Linux 内 核 的 版 本 号 命名 是 有 一 定 规则 的 ,版 本 号 的 格式 通常 为 “ 主 版 本 号 . 次 版 本 号 . 
修正 号 ”。 主 版 本 号 和 次 版 本 号 标志 着 重要 的 功能 变动 ,修正 号 表示 较 小 的 功能 变更 。 以 
2. 6. 12 版 本 为 例 ,2 代表 主 版 本 号 ,6 代表 次 版 本 号 ,12 代表 修正 号 。 其 中 次 版 本 号 还 有 特 
定 的 意义 : 如 果 是 偶数 数字 ,就 表示 该 内 核 是 一 个 可 放心 使 用 的 稳定 版 ;如 果 是 奇数 数字 ， 
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则 表示 该 内 核 加 入 了 某 些 测试 的 新 功能 ,是 一 个 内 部 可 能 存在 BUG 的 测试 版 。 如 2. 5. 74 
表示 是 一 个 测试 版 的 内 核 ,2. 6. 12 表示 是 一 个 稳定 版 的 内 核 。 读 者 可 以 到 Linux 内 核 官方 
网 站 http://www. kernel. org/ 下 载 最 新 的 内 核 代 码 , 如 图 1-3 所 示 。 


The Linux Kernel Archives A 


Abour Contacrus FAQ Releases Signatwes Sitenews 


Protocol Location 

HTTP https://www.kerneLorg/pub/ 
GIT hrtps://gitkerneLorg/ 
RSYNC rsync//rsynckerneLorg/pub/ 


图 1-3 Linux 内 核 官 方 网 站 


2. 发 行 版 本 

仅 有 内 核 而 没有 应 用 软件 的 操作 系统 是 无 法 使 用 的 ,所 以 许多 公司 或 社团 将 内 核 , 源 代 
码 及 相关 的 应 用 程序 组 织 构成 一 个 完整 的 操作 系统 ,让 一 般 的 用 户 可 以 简便 地 安装 和 使 用 
Linux, 这 就 是 所 谓 的 发 行 版 本 (Distribution) ,一 般 谈 论 的 Linux 系统 便 是 针对 这 些 发 行 版 
本 的 。 目 前 各 种 发 行 版 本 超过 300 种 ,它们 的 发 行 版 本 号 各 不 相同 ,使 用 的 内 核 版 本 号 也 可 
能 不 一 样 ,现在 最 流行 的 套件 有 Red Hat( 红 帽子 )、CentOS,、 Fedora、OpenSUSE、 Debian、 
Ubuntu, 红 旗 Linux 等 。 

本 书 是 基于 最 新 的 CentOS 7 系统 编写 的 , 书 中 内 容 及 实验 完全 通用 于 CentOS, Red 
Hat、Fedora 等 系统 。 也 就 是 说 , 当 你 学 完 本 书后 ,即便 公司 内 的 生产 环境 部 署 的 是 其 他 系 
统 , 也 照样 可 以 应 用 本 书 的 内 容 。 更 重要 的 是 ,本 书 配套 资料 中 的 ISO 镜像 与 全 国 职 业 技 能 
大 赛 基 本 保持 一 致 ,因此 更 适合 备考 职业 技能 大 赛 的 考生 使 用 。( 加 入 QQ 群 189934741 可 
随时 索要 ISO 及 其 他 资料 ,后 面 不 再 说 明 。) 


1.1.4 CentOS 


CentOSCCommunity Enterprise Operating System ,社区 企业 操作 系统 ) 是 Linux 发 行 
版 本 之 一 , 它 是 Red Hat Enterprise Linux 依照 开放 源 代码 的 规定 整理 出 的 源 代码 所 编译 而 
成 的 。 由 于 出 自 同样 的 源 代码 ,因此 有 些 要 求 高 度 稳定 性 的 服务 器 以 CentOS 替代 商业 版 
的 Red Hat Enterprise Linux 使 用 。 两 者 的 不 同 在 于 CentOS 并 不 包含 封闭 源 代码 软件 。 

CentOS 在 2014 年 年 初 宣布 加 入 Red Hat。CentOS 是 一 个 基于 Red Hat Linux 提供 
的 可 自由 使 用 源 代码 的 企业 级 Linux 发 行 版 本 。 每 个 版 本 的 CentOS 都 会 获得 10 年 的 支 
持 ( 通 过 安全 更 新 方式 )。 新 版 本 的 CentOS 大 约 每 两 年 发 行 一 次 ,而 每 个 版 本 的 CentOS 会 
定期 (大 概 每 六 个 月 ) 更 新 一 次 ,以 便 支 持 新 的 硬件 ,这 样 就 可 以 建立 一 个 安全 、 低 维护 、 稳 
定 、 高 预测 性 、 高 重复 性 的 Linux 环境 。 

CentOS 是 Red Hat Enterprise Linux 源 代码 再 编译 的 产物 ,而 且 在 CentOS 的 基础 上 
修正 了 不 少 已 知 的 Bug, 相 对 于 其 他 Linux 发 行 版 本 .其 稳定 性 值得 信赖 。 


2T«1< 


CentOS 加 入 Red Hat 后 ,依旧 保持 了 原先 的 特点 。 
。 CentOS 继续 不 收费 。 
。 保持 赞助 内 容 驱 动 的 网 络 中 心 不 变 。 
。 Bug Issue 和 紧急 事件 处 理 策 略 不 变 。 
。 Red Hat Enterprise Linux 和 CentOS 防火 墙 也 依然 存在 。 
1.1.5 CentOS 7 的 主要 特点 
CentOS 7 于 2014 年 7 月 7 日 正式 发 布 ,这 是 一 个 企业 级 的 Linux 发 行 版 本 ,基于 Red 
Hat 免费 公开 的 源 代码 。 
与 以 前 的 版 本 相 比 ,CentOS 7 主要 加 入 了 以 下 新 特性 。 
(1) 从 CentOS 6.x 在 线 升级 到 CentOS 7。 
(2) 加 入 了 对 Linux 容器 (Linux Containers，LXC) 的 支持 ,使 用 轻 量 级 的 Docker 进行 
容器 实现 。 
(3) 使 用 默认 的 XFS 文件 系统 。 
(4) 使 用 systemd 后 台 程 序 管理 Linux 系统 和 服务 。 
(5) 使 用 firewalld 后 台 程 序 管理 防火 墙 服务 。 


1.2 使 用 VM 虚拟 机 安装 CentOS 7 


在 安装 操作 系统 前 ,我 们 先 介绍 一 下 如 何 安装 VM 虚拟 机 。 
1.2.1 安装 并 配置 VM 虚拟 机 
(1) 成 功 安 装 VMware Workstation 后 的 界面 如 图 1-4 所 示 。 


WORKSTATION 12 PRO 


图 1-4 虚拟 机 软件 的 管理 界面 
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(2) 单 击 “ 创 建新 的 虚拟 机 ”选项 ,在 弹出 的 “新 建 虚拟 机 向 导 ” 界 面 中 选择 典型" 单 选 
按钮 ,然后 单 击 “ 下 一 步 ”按钮 ,如 图 1-5 所 示 。 


| 
欢迎 使 用 新 建 虚 拟 机 向 导 
WORKST 枉 ION 您 新 望 使 用 什么 类 SR 着? 
Ed 合身 型 推荐 XT) 


通过 几 个 简单 的 步 驮 @ 健 Workstation 12.0 
虚 氛 机 * 


自 定义 (高 级 XC) 

创 汗 带 有 SCSI 控制 器 类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选 顺 
的 虚拟 机 。 


上 Cm ] 
图 1-5 “新 建 虚拟 机 向 导 ” 界 面 


(3) 接 下 来 选中 “ 稍 后 安装 操作 系统 " 单 选 按 钮 ,然后 单 击 “ 下 一 步 " 按 钮 ,如 图 1-6 所 示 。 


新 建 虚拟 机 向 导 X 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 宫 户 机 操作 系统 ? 


安装 来 源 : 
安装 程序 光盘 (D): 
无 可 用 驱动 器 ~ 


〇 安装 程序 光盘 映像 文件 (soXM): 
Fi\CentOS-7-x86_64-DVD-1804.0 | MR. | 


图 稍 后 安装 操作 系统 (S)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 > 


[一 |] < 上 =- 步 B) | [下 —(N) > 取消 | 


图 1-6 “新 建 虚拟 机 向 导 ” 对 话 框 


请 一 定 选择 “ 稍 后 安装 操作 系统 ” 单 选 按钮 。 如 果 选 择 “ 安 装 程序 光盘 映像 
文件 ” 单 选 按 钮 ,并 把 下 载 好 的 CentOS 7 系统 的 镜像 选中 ,虚拟 机 会 通过 默认 的 
注 意 安装 策略 来 部 署 最 精简 的 Linux 系统 ,而 不 会 再 询问 安装 设置 的 选项 。 
(4) 后 面 的 步 又 直接 按 向 导 提 示 操 作 即 可 。 当 看 到 如 图 1-7 所 示 的 界面 时 ,就 说 明 虚 拟 
机 已 经 被 配置 成 功 了 。 
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回 serverl - VMware Workstation 一 口 X 
Workstation v | 了 DD ~ | 9 on le 
库 


全 主页 x| 加 ptazi | 加 serverl x 


QQ 在 此 处 名 入 二 
Hi] server1 
日 图 我 的 计算 机 一 
师 RHEL7-1 j 开启 此 虚拟 机 ~ 
昌国 于 旺 居 二 ini 本 
时 共享 的 去 拟 机 
~ 设备 
本 内 存 2GB 
辣 处 理 需 1 


图 硬 和 (SCSD) 40 GB 

全 CD/DVD (ID 日 ”正在 使 用 文件 - 
区 网 络 十 配器 自 定 义 VMn-_- 
图 Use 控制 委 存在 


册 声 卡 自动 检测 
师 打 B 机 各 在 > 虚拟 机 详细 信息 
画 示 器 自动 检测 状态 : 已 关机 
配置 文件 FAVM 
oy CentOS\se..\serverl.vmx 
” 搞 述 硬件 兼容 性 : Workstation 12.x 虞 拟 机 
在 此 处 键入 对 该 虚拟 机 的 撕 述 。 v 


ry 


图 1-7 虚拟 机 配置 成 功 的 界面 


1.2.2 安装 并 配置 CentOS 7 操作 系统 


安装 CentOS 7 要 入 时 罗 于 和 机 的 CPU 需要 支持 VT(Virtualization Technology, 虚 拟 
化 技术 )。 所 谓 VT, 是 指 让 单 台 计算 机 能 够 分 割 出 多 个 独立 资源 区 并 让 每 个 资源 区 按 了 
要 模拟 出 系统 的 术 ,其 本 质 就 是 通过 中 间 层 实现 计算 机 资源 的 管理 和 再 分 配 , 让 
资源 的 利用 率 最 大 化 。 如 果 开 启 虚拟 机 后 依然 提示 “CPU 不 支持 VT 技术 ”等 报错 信息 ,请 
重启 计算 机 并 进入 BIOS 中 把 VT 虚拟 化 功能 开启 即 可 。 

(1) 在 虚拟 机 管理 界面 中 单 击 “ 开 启 此 虚拟 机 ”按钮 后 数秒 ,就 会 看 到 CentOS 7 系统 安 

面 ,如 图 1-8 2 示 。 在 界面 中 ,Test this media & install CentOS 7 和 Troubleshooting 
Re 分 别 是 校 验光 盘 完 整 性 后 再 安装 以 及 启动 救援 模式 。 此 时 通过 键盘 的 方向 键 选择 
Install CentOS 7 0 Linux 系统 


Cent0S 7 


Install Cent0S 7 
Test this nedia & install Cent0S 7 


Troubleshoot ing 


图 1-8 ”CentOS 7 系统 安装 界面 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


(2) 接 下 来 按 Enter 键 后 开始 加 载 安装 镜像 ,所 需 时 间 大 约 为 30 一 60s, 请 耐心 等 待 。 
选择 系统 的 安装 语言 (简体 中 文 ) 后 单 击 “ 继 续 ” 按 钮 ,如 图 1-9 所 示 。 


CENTOS7 安 装 
国 = EA 

欢迎 使 用 CENTOS 7。 
您 在 安装 过 程 中 起 使 用 郭 种 语言 了 

ao Tet | 

了 楷体 中 文 (中 华人 民 共和 国 台 济 ) 

pw 引 K| | 村 钵 中 文 (中 华人 民 共和 国 香港 特别 生 

ma Thal 。 简体 中 文 新加坡 ) 

Tarkce Turkish 

yxpainchxa Ukrainian 

sl Urdu 

Tiéng Viet Vietnamesd 

lsiZulu Zulu 

在 这 里 进行 搜索 。 a 

5 基 | EE 


图 1-9 选择 系统 的 安装 语言 
(3) 在 安装 界面 中 单 击 “ 软 件 选 择 ” 选 项 ,如 图 1-10 所 示 。 


安装 信息 摘要 CENTOS 7 安装 
加 cn Mah! 


日 期 和 时 间 ( 键盘 (9 

亚洲 上 海 时 区 汉语 
语 置 支持 (D) 

莘 体 中 文 (中 国 


软件 选择 (5) 
没有 设置 安 靶 济 


[Fa 安装 位 置 (D) A ce 


退出 (0) 开始 安装 (B) 
一 | 
在 点 击 开 舱 安 芹 蓉 知 前 乱 们 并 不 会 召 作 如 的 硫 访 。 


1 消 先 完 世 避 有 此 轴 标 标记 的 凡 容 有 进行 下 一 步 。 
图 1-10 单 击 “ 软 件 选 择 ” 选 项 


(4) CentOS 7 系统 的 软件 定制 界面 可 以 根据 用 户 的 需求 来 调整 系统 的 基本 环境 ,例如 
把 Linux 系统 用 作 基 础 服务 器 、 文 件 服务 器 、Web 服务 器 或 工作 站 等 。 此 时 只 须 在 界面 中 选 
中 “ 带 GUI 的 服务 器 ” 单 选 按钮 (注意 ,如 果 不 选 此 项 , 则 无 法 进入 图 形 界面 ), 然 后 单 击 左 上 
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的 “完成 ”按钮 即 可 ,如 图 1-11 所 示 。 
CENTOS7 
图 cn 帮助 ! 
基本 环境 已 选 环境 的 附加 选项 
-) 最 小 安装 由 备份 服务 器 
基本 功能 。 集中 管理 基础 设施 备份 的 软件 。 
了 计算 节点 口 DNs 名 称 服务 器 
执行 计算 及 处 理 的 安装 。 该 软件 包 组 允许 您 在 系统 上 运行 DNS 名 称 服务 器 (BIND)。 
吕 基础 设施 服务 器 口 电子 邮件 服务 器 
用 于 操作 网 络 基础 设施 服务 的 服务 器 。 允许 和 系统 作为 SMTP 和 (或 者 ) IMAP 电子 邮件 服务 器 使 
) 文件 及 打印 服务 器 用 。 
用 于 企业 的 文件 、 打 印 及 存储 服务 器 。 L FTP 服务 器 
了 基本 网 页 服务 器 允许 将 系统 作为 FTP 服务 器 使 用 。 
提供 静态 及 动态 互联 网 内 容 的 服务 器 。 [文件 及 存储 服务 器 
了 虚拟 化 主机 GIFS, SMB, NFS, iSCSI iSER 及 iSNS 网 络 存储 服务 器 。 
最 小 自 拟 化 主机 。 [硬件 监控 工具 
吕 带 GUI 一 组 用 来 监控 服务 器 硬件 的 工具 。 
带 有 用 于 操作 网 络 基础 设施 服务 GUI 的 服务 器 。 口 高 可 用 性 
口 6NOME 来 而 用 于 高 度 可 用 服务 和 (或 者 ) 共享 存储 的 基础 设施 。 
GNOME 是 一 个 非常 直观 且 用 户 友好 的 桌面 环境 。 L 身份 管理 服务 器 
KDEPlasma Workspaces 用 户 、 服 务 器 和 认证 策略 的 集中 管理 。 
KDE Plasma Workspaces 是 一 个 高 度 可 配置 图 形 用 户 界 L Infiniband 支持 
面 ， 其 中 包括 面板 、 桌 面 、 系 统 图 标 以 及 桌面 向 导 和 很 多 用 来 支持 集群 和 使 用 RDMA InfiniBand 和 WARO 光纤 的 网 
功能 强大 的 KDE 应 用 程序 。 状 连 接 性 的 软件 。 
了 开发 及 生成 工作 站 中 Jave 平台 
用 于 软件 、 硬 件 、 图 形 或 者 内 容 开发 的 工作 站 。 红 帆 企业 版 Linux 服务 器 和 来 面 平台 的 Java 支持 。 
knF 


图 1-11 


(5) 返回 到 CentOS 7 系统 安装 主 界面 , 单 击 


选择 软件 的 类 型 


“网 络 和 主机 名 ”选项 后 ,将 “主机 名 ”字段 


设置 为 Serverl, 然 后 单 击 左 上 角 的 “完成 ”按钮 ,如 图 1-12 所 示 。 


和 


和 主机 名 (-N) 
及 ] 以 太 网 (ens33) ] 
已 断 开 连 报 A 

硬件 地 址 000C29A48LBF 
速度 1000 Mb/s 

子 网 靖 码 127.0.0.1 

El - 配置 (9) 
主机 名 (H) : | :erverll 应 用 (A) 当前 主机 名 :localhost 


图 1-12 配置 网 络 和 主机 名 


(6) 返回 到 CentOS 7 系统 安装 主 界面 , 单 击 
选 按钮 ,然后 单 击 左上 角 的 “ 完 


”按钮 .如 图 1- 


“安装 位 置 ”选项 后 ,选中 “我 要 配置 分 区 ” 
13 所 示 。 


V 


图 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


设备 选择 
选择 要 在 其 中 安装 系统 的 设备 。 单 击 主 菜单 中 的 开始 安装 "按钮 前 不 会 对 该 设备 进行 任何 操作 。 
本 地 标准 磁盘 


其 他 存储 选项 
分 区 


我 址 店 外交 


40 GB 
VMware VMware Virtual S 
sda / 40GB 空 用 
专用 磁盘 & 网 络 磁盘 


El 
添加 磁盘 (A)… 


C 〇 自动 配置 分 区 (U)。| (®) 我 要 配置 分 区 ()。 | 


完整 而 和 摘要 以 及 引导 程序 (F).。 已 选择 1 个 磁盘 ; 容量 40 GiB ; 40 GiB 空 闸 刷新 (R) 


- 


不 会 对 未 在 此 处 进去 的 磁 查 进行 任何 据 作 。 


不 会 对 未 在 此 处 选 耕 的 机 得 进行 任何 缠 作 。 


闻 可 用 (M 


图 1-13 ”选择 “我 要 配置 分 区 " 单 选 按钮 


(7) 开始 配置 分 区 。 磁 盘 分 区 允许 用 户 将 一 个 磁盘 划分 成 几 个 单独 的 部 分 ,每 一 部 分 
都 有 自己 的 盘 符 。 在 分 区 之 前 ,首先 规划 分 区 ,以 20GB 硬盘 为 例 ,做 如 下 规划 。 


/home 分 区 


/boot 分 区 大 小 为 300MB; 
swap 分 区 大 小 为 4GB; 
/分 区 大 小 为 10GB; 

/usr 分 区 


小 为 8GB; 
大 小 为 8GB; 


/var 分 区 大 小 为 8GB; 
/tmp 分 区 大 小 为 1GB。 


下 面 进行 具体 的 分 区 操作 。 
@ 创建 boot 分 区 (启动 分 区 )。 在 “新 挂 载 点 将 使 用 以 下 分 区 方案 "下 面 选中 “标准 分 


区 ”, 单 击 * 十 "按钮 。 


在 打开 的 “添加 新 挂 载 点 ”对话 框 中 选择 “ 挂 载 点 ”为 “/boot”( 也 可 以 直 


接 输 入 挂 载 点 ), “期望 容量 ”为 300MB, 然 后 单 击 “ 添 加 挂 载 点 ”按钮 ,如 图 1-14 所 示 。 接 着 


在 图 1-15 所 示 的 界 


面 中 设置 “文件 系统 "类 型 为 ext4 ,用 默认 文件 系统 xfs 也 可 以 。 


15 中 的 “设备 类 型 ”一 定 要 选中 “标准 分 区 ”, 保 证 “/home” 为 单独 分 区 ， 


图 1- 
自 为 后 面 做 配额 实 训 做 准备 。 


ER 
注 意 


@ 创建 交换 分 


区 。 单 击 “ 十 ”按钮 ,创建 交换 分 区 。“ 文 件 系统 "类 型 中 选择 swap,“ 期 望 


容量 ?大 小 一 般 设 置 为 物理 内 存 的 两 倍 即 可 。 比 如 ,计算 机 物理 内 存 大 小 为 2GB, 设 置 的 


_ 
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添加 新 挂 载 点 


在 下 方 创建 挂 载 点 后 
有 更 多 自 定义 选项 可 用 。 


挂 载 点 P) ;| /boot = 


期 请 容量 D) ;| 300MB 


取消 (QO 重 加 挂 载 点 (A) 


图 1-14 添加 “/boot” 挂 载 点 


(sda) 


[ee 
| /boot | VMware VMware Virtual S 


修改 .(M) 


elle | 


39.72 GB 40GB 


已 选择 1 个 存储 设备 (S) 全 部 重 设 (R) 


图 1-15 设置 “/boot” 挂 载 点 的 文件 类 型 
swap 分 区 大 小 就 是 4096MB(4GB) 。 


什么 是 swap 分 区 ? 简单 地 说 ,swap 就 是 虚拟 内 存 分 区 , 它 类 似 于 Windows 
的 PageFile. sys 页 面 交换 文件 。 就 是 当 计算 机 的 物理 内 存 不 够 时 ,作为 后 备 资 
提 示 源 利用 硬盘 上 的 指定 空间 来 动态 扩充 内 存 的 大 小 。 


@ 用 同样 的 方法 ,创建 “/” 分 区 大 小 为 10GB,“/usr” 分 区 大 小 为 8GB,“/home” 分 区 大 
小 为 8GB,“/var” 分 区 大 小 为 8GB.“/tmp” 分 区 大 小 为 1GB。 文 件 系 统 类 型 全 部 设置 为 
ext4。 设 置 完 成 后 如 图 1-16 所 示 。 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


~ 新 Centos7 安 装 sda3 
数据 
ge > 
/home VMware, VMware Virtual S 
sda) 
可 期 于 容量 OD) : (9 
9 OE 8192 MB 修改 .(M) 
Ar 7629 MB 
sta6 


号 
| 
日 
E34 
| 
她 
| 
虽 
日 


lboot 300 MB 
Was 

7 9536 MB | | 过 本 新 三 式 化 (0) 
| 

et a SW) 


La 

| 

l 间 

4809.97 MB 日 4o GB 
已 选择 1 个 存 傅 设 备 (S) 


全 部 重 设 (R) 


图 1-16 手动 分 区 


(1) 不 可 与 root 分 区 分 开 的 目录 是 /dev、/etc、/sbin、/bin 和 /lib。 和 系统 启动 
时 ,核心 只 载 入 一 个 分 区 , 那 就 是 */”, 核 心 启动 要 加 载 /dev、/etc、/sbin、/bin 和 
/lib 5 个 目录 的 程序 ,所 以 以 上 几 个 目录 必须 和 “/” 根 目录 在 一 起 。 

(2) 最 好 单独 分 区 的 目录 是 /home、/usr、/var 和 /tmp。 出 于 安全 和 管理 的 
目的 ,以 上 4 个 目录 最 好 要 独立 出 来 ,比如 在 samba 服务 中 ,/home 目录 可 以 配 
置 磁盘 配额 quota。 在 sendmail 服务 中 ,/var 目录 可 以 配置 磁盘 配额 quota。 


or 
Ha 
NS 

ci 


@ 单 击 左 上 角 的 “完成 "按钮 .再 单 击 “ 接 受 更 改 " 按 钮 完成 分 区 ,如 图 1-17 所 示 。 


更 改 摘要 
您 的 自 定义 更 改 得 产生 以 下 变更 ， 这 些 变更 得 会 在 您 返回 到 主 菜单 并 开始 安装 时 生效 : 
顺序 操作 类 型 设备 名 称 ” 挂 载 点 
5 创建 设备 partition sda3 
6 创建 设备 partition sda5 
7 创建 设备 partition sda6 
8 创建 设备 partition sda7 
9 创建 设备 partition sdaB 
10 。 创建 格式 swap sdag 
11 创建 格式 ext4 sda7 ltmp 
12 ”创建 格式 ext4 sda6 lvar 
13 ”创建 格式 ext4 sda5 yusr 
14 ”创建 格式 ext4 sda3 home 
15 ”创建 格式 ext4 sda2 / 
16 创建 格式 ext4 sdal /boot 
取消 并 返回 到 自 定义 分 区 (9 接受 更 改 (A) 
1-17 ”完成 分 区 后 的 结果 
(8) 返回 到 如 图 1-18 所 示 的 安装 主 界面 , 单 击 “ 开 始 安 装 ” 按 钮 后 即 可 看 到 安装 进度 。 


接着 选择 “ROOT 密码 ”选项 ,如 图 1-19 所 示 。 


> 了 < 
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安装 信息 摘要 CENTOS 7 安装 
加 cn 帮助 ! 
日 期 和 时 间 (T) 键盘 (K) 
亚洲 上 海 时 区 汉语 
语 填 支 持 () 
六 体 中 文 [中国 
安装 源 (1) 软件 选择 (5) 
本 地 介质 带 GUI 的 服务 器 
系统 
安装 位 置 (D) KDUMP 
已 选择 自 定 义 分 区 已 后 用 Kdump 


证 点 十 开始 安装 民 角 前 我 们 并 不 会 所 作 人 89 而 全 


退出 (0) 


图 1-18 CentOS 7 安装 主 界面 


al 


Root 栈 玛 夫 设 植 


配置 CENTOS 7 安装 
图 cn 天助 ! 
用 户 设置 
RooT 窗 码 @ la 有 A 


[A 不 会 创建 任何 用 户 


图 1-19 选择 “ROOT 密码 ”选项 


(9) 然后 设置 root 管理 员 的 密码 。 若 坚持 用 弱 口 令 的 密码 , 则 需要 单 击 2 次 左上 角 的 
“完成 ”按钮 才 可 以 确认 ,如 图 1-20 所 示 。 


root 账户 用 于 管理 系统 。 为 root 用 户 输入 密码 。 


root 认 加 (R) :erreene 
— 要 

确认 (q ee 

图 1-20 设置 root 管理 员 的 密码 


多 


提示 


当 在 虚拟 机 中 做 实验 的 时 候 ,密码 无 所 谓 强 弱 , 但 在 生产 环境 中 一 定 要 让 
root 管理 员 的 密码 足够 复杂 ,和 否则 系统 将 面临 严重 的 安全 问题 。 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


(10) Linux 系统 安装 过 程 一 般 在 30 一 60min, 在 安装 过 程 中 耐心 等 待 即 可 。 安 装 完成 
后 单 击 “重启 ”按钮 。 

(11) 重启 系统 后 将 看 到 系统 的 初始 化 界面 .可 以 单 击 LICENSE INFORMATION 选项 。 

(12) 接着 选中 “我 同意 许可 协议 " 复 选 框 ,然后 单 击 左 上 角 的 “完成 ”按钮 。 

(13) 返回 到 初始 化 界面 后 单 击 “ 完 成 配置 ”按钮 ,如 图 1-21 所 示 。 


初始 设置 CENTOS LINUX 7 (CORE) 
加 en | 
LICENSING 


一 和》 网络 和 主机 名 (N) 
未 过 这 


创建 用 户 (U) 
FA 
退出 [g) oF) 


图 1-21 系统 初始 化 界面 (完成 配置 


(14) 虚拟 机 软件 中 的 CentOS 7 系统 经 过 又 一 次 的 重启 后 ,终于 可 以 看 到 系统 的 欢迎 
界面 了 ,在 界面 中 选择 默认 的 语言 一 一 汉语 ,如 图 1-22 所 示 ,然后 单 击 “ 前 进 ” 按 钮 。 


ma [wa | 
RA 
L> 
‘> jo 
Deutsch Deutschland 
English United States 
Espafiol Espafia 


Frangais 


pycaem p. 
al - 
日 本 语 日 本 
汉语 v 中 国 


图 1-22 系统 的 语言 设置 


(15) 将 系统 的 键盘 布局 或 输入 方式 选择 为 English(Australian) ,然后 单 击 “ 前 进 ” 按 
钮 ,如 图 1-23 所 示 。 
(16) 按照 图 1-24 所 示 的 设置 来 设置 系统 的 时 区 (上 海 ,中 国 ) ,然后 单 击 “ 前 进 ” 按 钮 。 
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输入 


输入 


选择 密 的 键 瘟 布局 或 考 其 他 锌 入 方式 
Danish (Macintosh, eliminate dead keys) 刺 
Danish (Winkeys) 3 
Dzongkha 融 
English (Australian) ww ME 
English (Cameroon) 珊 
Englsh (Colemak) 3 
English (Dvorak, international with dead keys) 到 
English (Ghana) 融 


图 1-23 设置 系统 的 输入 来 源 类 型 


时 区 


The ime zone wil be set automatically f your location can be found You can also search for a ciy to set It yourself. 


QQ 上 海 , 中 国 a 


图 1-24 设置 系统 的 时 区 


(17) 为 CentOS 7 系统 创建 一 个 本 地 的 普通 用 户 ,该 账户 的 用 户 名 为 
centos, 然 后 单 击 “ 前 进 " 按 钮 ,如 图 1-25 所 示 。 


关于 您 


我 们 需要 一 些 详细 信息 未 完成 设置 。 


as 


用 户 名 (U) yangyun v 贺 | 


这 本 用 于 站 的 主 目录 并 无 法 更 耽 。 


1-25 设置 本 地 普通 用 户 


yangyun, 密 码 为 


图 Linux 操作 系统 与 实 训 (CentOS 7.4& RHEL7.4) 


(18) 在 图 1-26 所 示 的 界面 中 单 击 “ 开 始 使 用 CentOS Linux” 按 钮 ,出 现 如 图 1-27 所 示 
的 界面 。 至 此 ,CentOS 7 系统 完成 了 全 部 的 安装 和 部 署 工作 ,我 们 终于 可 以 感受 到 Linux 


的 风采 了 。 


准备 好 了 


You're ready to gol 


开始 使 用 Ce 


图 1-26 系统 初始 化 结束 界面 图 1-27 系统 的 欢迎 界面 


1.3 重 置 root 管理 员 密 码 


平日 里 让 运 维 人 员 头疼 的 事情 已 经 很 多 了 ,偶尔 把 Linux 系统 的 密码 忘记 了 并 不 用 着 
急 , 只 需要 简单 的 几 步 就 可 以 完成 密码 的 重 置 工作 。 如 果 你 刚刚 接手 了 一 台 Linux 系统 ,要 
先 确定 是 否 为 CentOS 7 系统 。 如 果 是 ,然后 再 进行 下 面 的 操作 。 
(1) 如 图 1-28 所 示 , 先 在 空白 处 右 击 ,选择 “打开 终端 ”命令 ,然后 在 打开 的 终端 中 输入 
以 下 命令 。 
新 建文 件 夹 (F) 


全 选 (A) 

回 保持 对 齐 (k) 
控 各 称 整理 来 面 (D) 
更 执 肯 景 (B) 


图 1-28 打开 终端 
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[yangyuneserverl ~ ]$ cat /etc/centos- release 
Centos Linux release 7.5.1804 (Core) 


(2) 在 终端 中 输入 reboot; 或 者 单 击 右上 角 的 关机 按钮 四 ,选择 启 ” 命 令 。 
系 综 


Linux 系统 主机 并 出 现 引导 界面 时 , 按 下 e 键 进入 内 核 编辑 界面 ,如 图 1-29 所 示 。 


Cent0S Linux ( 862.e17.x86_64) 7 (Core) 
9f8734becib4d8c8fbb58cd94a555aa) 7 (Core) 


Use the + and + keys to change the selection. 
Press 'e' to edit the selected item, or 'c’ for a command prompt. 


图 1-29 Linux 系统 的 引导 界面 


(3) 在 linux16 参数 这 行 的 最 后 面 加 一 人 
合 键 来 运行 修改 过 的 内 核 程 序 , 如 图 1-30 所 示 


各 ,然后 j 


加 rd. break 参数 ,再 按 Ctrl 十 X 组 


insmod part_msdos 
insmod ext2 
set root="hd8,msdos1’ 
if [ x$feature_platform_search_hint = xy ]; 
search --no-floppy --fs-uuid --set=root int-bios=hd8, msdos1 --hin\ 
t-efi=hdg, msdos1 --hint-baremetal=ahcig, msdos1 ~-hint="hdg,msdosi’ 9e83d14c-2\ 
e3e-419b-89b8-bdbfa9gd845f9 
lse 
search --no-floppy --fs-uuid --set=root ge83dl4c-2e3e-419b-89b8-bdbfN\ 
agd845f9 
fi 
linux16 /umlinuz-3.18.8-862.e17.x86_64 root=UUID=e5faf238-465c-4aa8-aB\ 
eb-17bgbeddccb4 ro crashkernel=auto rhgb quiet LANG=zh_CN.UTF-8 jrd.break_ 
initrdl6 /initramfs-3.19.8-862.e17.x86_64. img 


Press Ctrl-x to start, Ctrl-c for a command prompt or Escape to 
discard edits and return to the menu. Pressing Tab lists 
possible completions 


图 1-30 ”内核 信息 的 编辑 界面 


(4) 大 约 30s 后 ,进入 到 和 \ 


援 模式 。 依 次 输入 以 下 命令 


mount ~ o remount, rw /sysroot 
chroot /sysroot 

passwd 

touch /.autorelabel 

exit 

reboot 


好 


图 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


(5) 命令 行 执行 效果 如 图 1-31 所 示 。( 注 意 ,输入 passwd 后 ,输入 密码 和 确认 密码 是 不 
会 显示 的 。) 


图 1-31 重 置 Linux 系统 的 root 管理 员 密码 


:完毕 ,重启 系统 ,出 现 如 图 1-32 所 示 的 界面 , 单 击 “ 未 列 出 ”按钮 ,然后 输入 用 户 


名 root 和 密码 newcentos, 就 可 以 登录 Linux 系统 了 


®| i 


未 列 出 ? 


图 1-32 单 击 “ 未 列 出 ”按钮 


全 为 了 后 面 实验 的 正常 进行 ,一 般 建 议 使 用 root 管理 员 用 户 登 录 Linux 系统 。 


1.4 使 用 RPM 


在 RPM( 红 帽 软件 包 管 理 器 ) 公 布 之 前 ,要 想 在 Linux 系统 中 安装 软件 ,只 能 采取 源码 
包 的 方式 安装 。 早 期 在 Linux 系统 中 安装 程序 是 一 件 非常 困难 、 耗 费时 间 的 事情 ,而 且 大 多 
数 的 服务 程序 仅仅 提供 源 代码 ,需要 运 维 人 员 自 行 编译 代码 并 解决 许多 的 软件 依赖 关系 。 
因此 要 安装 好 一 个 服务 程序 , 运 维 人 员 需 要 具备 丰富 的 知识 ,高 超 的 技能 ,甚至 极 大 的 耐心 。 
而 且 在 安装 、 升 级 、 印 载 服务 程序 时 还 要 考虑 到 其 他 程序 . 库 的 依赖 关系 ,所 以 在 进行 校 验 、 
安装 、 印 载 .查询 、 升 级 等 管理 软件 操作 时 难度 都 非常 大 。 
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RPM 机 制 则 是 为 解决 这 些 问 题 而 设计 的 。RPM 有 点 像 Windows 系统 中 的 控制 面板 ,会 
建立 统一 的 数据 库 文件 ,详细 记录 软件 信息 并 能 够 自动 分 析 依 赖 关 系 。 目 前 RPM 的 优势 已 经 
被 公众 所 认可 ,使 用 范围 也 已 不 局 限 在 红 帽 系统 中 。 表 1-1 是 一 些 常用 的 RPM 软件 包 命令 。 


表 1-1 常用 的 RPM 软件 包 命令 


操 作 命 令 
安装 软件 的 命令 格式 rpm -ivh filename. rpm 
升级 软件 的 命令 格式 rpm -uvh filename. rpm 
印 载 软件 的 命令 格式 rpm -e filename. rpm 
查询 软件 描述 信息 的 命令 格式 rpm -qpi filename. rpm 
列 出 软件 文件 信息 的 命令 格式 rpm -qpl filename. rpm 
查询 文件 属于 哪个 RPM 的 命令 格式 rpm -qf filename 


1.5 使 用 yum 软件 仓库 


尽管 RPM 能 够 帮助 用 户 查 询 软件 相关 的 依赖 关系 ,但 问题 还 是 要 运 维 人 员 自 己 来 解 
决 ,而 有 些 大 型 软件 可 能 与 数 十 个 程序 都 有 依赖 关系 ,在 这 种 情况 下 安装 软件 会 是 非常 痛苦 
的 。yum 软件 仓库 便 是 为 了 进一步 降低 软件 安装 难度 和 复杂 度 而 设计 的 技术 。 

CentOS 先 将 发 布 的 软件 存放 到 yum 服务 器 内 ,然后 分 析 这 些 软件 的 依赖 属性 问题 ,将 
软件 内 的 记录 信息 写 下 来 (header)。 再 将 这 些 信 息 分 析 后 记录 成 软件 相关 性 的 清单 列表 。 
这 些 列表 数据 与 软件 所 在 的 位 置 称 为 容器 (repository)。 当 客户 端 有 软件 安装 的 需求 时 , 客 
户 端 主机 会 主动 地 向 网 络 上 面 的 yum 服务 器 的 容器 网 址 下 载 清 单列 表 , 然 后 通过 清单 列表 
的 数据 与 本 机 RPM 数据 库 已 存在 的 软件 数据 相 比较 ,就 能 够 一 下 子安 装 所 有 需要 的 具有 
依赖 属性 的 软件 了 。 整 个 流程 如 图 1-33 所 示 。 常 见 的 yum 命令 如 表 1-2 所 示 。 


容器 数据 列表 : 
path/repodata/ 列 表 ， 


yum 服 务 器 


实际 软件 目录 : 
FTP/HTTP 均 可 


取得 清单 列表 


实际 安装 


Einux 客 户 端 
图 1-33 yum 使 用 的 流程 
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表 1-2 常见 的 yum 命令 


命 夺 作 用 
yum repolist all 列 出 所 有 仓库 
yum list all 列 出 仓库 中 所 有 软件 包 
yum info 软件 包 名 称 查看 软件 包 信息 
yum install 软件 包 名 称 安装 软件 包 
yum reinstall 软件 包 名 称 重新 安装 软件 包 
yum update 软件 包 名 称 升级 软件 包 
yum remove 软件 包 名 称 移 除 软 件 包 
yum clean all 清除 所 有 仓库 缓存 
yum check-update 检查 可 更 新 的 软件 包 
yum grouplist 查看 系统 中 已 经 安装 的 软件 包 组 
yum groupinstall 软件 包 组 安装 指定 的 软件 包 组 
yum groupremove 软件 包 组 移 除 指定 的 软件 包 组 
yum groupinfo 软件 包 组 查询 指定 的 软件 包 组 信息 


1.6 ”systemd 初始 化 进程 


Linux 操作 系统 的 开机 过 程 是 这 样 的 , 即 从 BIOS 开始 ,然后 进入 Boot Loader, 再 加 载 
系统 内 核 ,接着 内 核 进行 初始 化 ,最 后 启动 初始 化 进程 。 初 始 化 进程 作为 Linux 系统 的 第 一 
个 进程 , 它 需要 完成 Linux 系统 中 相关 的 初始 化 工作 ,为 用 户 提供 合适 的 工作 环境 。 红 帽 
CentOS 7 系统 已 经 替换 掉 了 熟悉 的 初始 化 进程 服务 System V init, 正式 采用 全 新 的 
systemd 初始 化 进程 服务 。systemd 初始 化 进程 服务 采用 了 并 发 启动 机 制 , 开 机 速度 得 到 了 
较 大 的 提升 。 

CentOS 7 系统 选择 systemd 初始 化 进程 服务 已 经 是 一 个 既定 事实 ,因此 也 没有 了 “ 运 
行 级 别 ” 这 个 概念 。Linux 系统 在 启动 时 要 进行 大 量 的 初始 化 工作 ,比如 挂 载 文件 系统 和 交 
换 分 区 .启动 各 类 进程 服务 等 ,这 些 都 可 以 看 作 是 一 个 一 个 的 单元 (Unit) ,systemd 用 目标 名 
称 代 替 了 System V init 运行 级 别 的 概念 ,这 两 者 的 对 应 关系 以 及 作用 如 表 1-3 所 示 。 


表 1-3 systemd 与 System V init 的 对 应 关系 以 及 作用 


System V init 运行 级 别 systemd 目标 名 称 作 用 
0 runlevel0. target ,poweroff. target 关机 
1 runlevell. target rescue. target 单 用 户 模式 
区 runlevel2. target ,multi-user. target 等 同 于 级 别 3 
和 runlevel3. target .multi-user. target 多 用 户 的 文本 界面 
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续 表 
System V init 运行 级 别 systemd 目标 名 称 作 用 
4 runlevel4. target\multiruser. target 等 同 于 级 别 3 
5 runlevel5. target .graphical. target 多 用 户 的 图 形 界 面 
6 runlevel6. target reboot. target 重启 
emergency emergency. target 紧急 Shell 


如 果 想 要 将 系统 默认 的 运行 目标 修改 为 “多 用 户 、 无 图 形 ” 模 式 ,可 直接 用 ln 命令 把 多 
用 户 模 式 目标 文件 连接 到 /etc/systemd/system/ 目 录 。 


[root@serverl ~ ]# ln - sf /lib/systemd/system/mlti— user.target /etc/systemd/ 


在 CentOS 6 系统 中 使 用 service .chkconfig 等 命令 来 管理 系统 服务 ,而 在 CentOS 7 系 
统 中 则 使 用 systemctl 命令 来 管理 服务 。 表 1-4 和 表 1-5 是 CentOS 6 系统 中 System V init 
命令 与 CentOS 7 系统 中 systemctl 命令 的 对 比 ,后 续 章 节 中 会 经 常用 到 它们 。 


表 1-4 systemetl 管理 服务 的 启动 .重启 停止 . 重 载 ,查看 状态 等 常用 命令 


System V init 命令 (CentOS 6 系统 ) | systemectl 命令 (CentOS 7 系统 ) 作 用 
service foo start systemectl start foo. service 启动 服务 
Service foo restart systemectl restart foo. service “| 重启 服务 
service foo stop Systemectl stop foo. service 停止 服务 
service foo reload systemectl reload foo. service 重新 加 载 配置 文件 (不 终止 服务 ) 
service foo status systemectl status foo. service 查看 服务 状态 


表 1-5 systemetl 设置 服务 开机 启动 ,不 启动 .查看 各 级 别 下 服务 启动 状态 等 常用 命令 


System V init 命令 


《CentOS 6 系统 ) systemectl 命令 (CentOS 7 系统 ) 作 用 


chkconfig foo on systemctl enable foo. service 开机 自动 启动 
chkconfig foo off | systemectl disable foo. service 开机 不 自动 启动 
chkconfig foo systemctl is-enabled foo. service 查看 特定 服务 是 否 为 开机 自动 启动 


chkconfig —list systemct] list-unit-files 一 type 二 service | 查看 各 个 级 别 下 服务 的 启动 与 禁用 情况 


1.7 ”启动 Shell 


操作 系统 的 核心 功能 就 是 管理 和 控制 计算 机 硬件 、 软 件 资源 ,以 尽量 合理 有 效 的 方法 
组 织 多 个 用 户 共 享 多 种 资源 ,而 Shell 则 是 介 于 使 用 者 和 操作 系统 核心 程序 (Kernel) 间 的 一 
个 接口 。 在 各 种 Linux 发 行 套件 中 ,目前 虽然 已 经 提供 了 丰富 的 图 形 化 接口 ,但 是 Shell 仍 
旧 是 一 种 非常 方便 .灵活 的 途径 。 
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Linux 中 的 Shell 又 被 称 为 命令 行 ,在 这 个 命令 行 窗口 中 ,用 户 输入 指令 ,操作 系统 执行 
并 将 结果 回 显 在 屏幕 上 。 

1. 使 用 Linux 系统 的 终端 窗口 

现在 的 CentOS 7 操作 系统 默认 采用 的 都 是 图 形 界面 的 GNOME 或 者 KDE 操作 方式 。 
要 想 使 用 Shell 功能 ,就 必须 像 在 Windows 中 那样 打开 一 个 命令 行 窗口 。 一 般 用 户 可 以 选 
择 “ 应 用 程序 ”一 “系统 工 具 ” 一 “终端 "命令 来 打开 终端 窗口 (或 者 直接 右 击 桌 面 ,选择 “在 终 
端 中 打开 ”命令 ), 如 图 1-34 所 示 。 如 果 是 英文 系统 ,对 应 的 命令 是 Applications 一 System 
Tools 习 Terminal。 由 于 中 英文 之 间 都 是 比较 常用 的 单词 ,在 本 书 的 后 面 不 再 单独 说 明 。 


天 位 置 终端 


收藏 [| Application Installer 
办 公 过 
附件 三 Boxes 
工具 嘲 六 
互联 网 

软件 更 新 
0 
| 系统 工具 6 让 
影音 国 二 ss 
杂项 

系统 日 志 
其 它 P| 

[| 

活动 概 必 


图 1-34 打开 “终端 ” 
执行 以 上 命令 后 ,就 打开 了 命令 行 窗口 ,在 这 里 可 以 使 用 CentOS 7 支持 的 所 有 命令 行 
指令 。 
2. 使 用 Shell 提示 符 
登录 之 后 ,普通 用 户 的 命令 行 提示 符 以 “$ ”号 结尾 ,超级 用 户 的 命令 以 “# ”号 结尾 。 


[yangyun@ serverl ~ ]$ ;一 般 用 户 以 “$” 号 结尾 
[yangyn@ serverl ~ ]$ su root ;切换 到 root 账 号 

Password: 

[root@serverl~ ]# ;命令 行 提示 符 变 成 以 *#” 号 结尾 
3. 退出 系统 


在 终端 中 输入 命令 shutdown -P now, 或 者 单 击 右 上 角 的 关机 按钮 中 并 选择 “关机 ” 选 
项 ,可 以 退出 系统 。 


4. 再 次 登录 
如 果 再 次 登录 ,为 了 后 面 的 实 训 能 顺利 进行 ,请 选择 root 用 户 。 在 图 1-35 中 单 击 “Not 


2 过 和 
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listed?” 按 钮 ,后 面 输入 root 用 户 名 及 密码 , 即 以 root 身份 登录 计算 机 。 
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图 1-35 选择 用 户 登录 


5. 制作 系统 快照 
安装 成 功 后 ,请 一 定 使 用 VM 的 快照 功能 进行 快照 备份 ,一 旦 需要 可 立即 恢复 到 系统 的 
初始 状态 。 另 外 ,对 于 重要 实 训 节点 ,也 可 以 进行 快照 备份 ,以 便 后 续 可 以 恢复 到 适当 断 点 。 


1.8 配置 常规 网 络 

Linux 主机 要 与 网 络 中 其 他 主机 进行 通信 ,首先 要 进行 正确 的 网 络 配置 。 网 络 配置 通 
常 包括 主机 名 、IP 地 址 . 子 网 掩 码 ,默认 网 关 、DNS 服务 器 等 。 
1.8.1 检查 并 设置 有 线 处 于 连接 状态 


单 击 桌 面 状 态 栏 中 的 启动 按钮 . 单 击 “ 连 接 ” 按 钮 ,设置 有 线 处 于 连接 状态 ,如 图 1-36 
所 示 。 
设置 完成 后 , 右 下 角 将 出 现 有 线 处 于 连接 状态 的 小 图 标 , 如 图 1-37 所 示 。 


二 有线 已 关闭 4 
E3 
有 线 设置 
皇 VPN 已 关闭 » 
鲜 定位 服务 正 被 使 用 » 
昌 root » 
和 s en Fril9:19 | 品 | 吓 四 
图 1-36 设置 有 线 处 于 连接 状态 图 1-37 有 线 处 于 连接 状态 
应 必须 首先 使 有 线 处 于 连接 状态 ,这 是 一 切 配置 的 基础 。 


1.8.2 设置 主机 名 
CentOS 7 中 ,有 3 种 定义 的 主机 名 。 
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。 静态 的 (Static)。“ 静 态 ” 主 机 名 也 称 为 内 核 主机 名 ,是 系统 在 启动 时 从 /etc/ 
hostname 自动 初始 化 的 主机 名 。 
。 瞬 态 的 (Transient)。“ 瞬 态 ” 主 机 名 是 在 系统 运行 时 临时 分 配 的 主机 名 ,由 内 核 管 
理 。 例 如 ,通过 DHCP 或 DNS 服务 器 分 配 的 ,如 localhost。 
。 灵活 的 (Pretty)。“ 灵 活 ” 主 机 名 是 UTF8 格式 的 自由 主机 名 ,以 展示 给 终端 用 户 。 
与 之 前 版 本 不 同 , CentOS 7 中 主机 名 配置 文件 为 /etc/hostname, 可 以 在 配置 文件 中 直 
接 更 改 主机 名 。 


1. 使 用 nmtui 修改 主机 名 
[root@serverl ~ ]# mmtui 
在 图 1-38 和 图 1-39 中 进行 配置 。 


请 选择 选项 


编辑 连接 
启用 连接 


退出 


主机 各 GEIR EE 
< 取消 > < 确定 > 


图 1-38 配置 hostname 图 1-39 修改 主机 名 为 serverl 


使 用 NetworkManager 的 nmtui 接口 修改 了 静态 主机 名 后 (/etc/hostname 文件 ) ,不 会 
通知 hostnamectl。 要 想 强 制 让 hostnamectl 知道 静态 主机 名 已 经 被 修改 ,需要 重启 
hostnamed 服务 。 


[root@serverl ~ ]# systemctl] restart systemd- hostnamed 


2. 使 用 hostnamectl 修改 主机 名 
(1) 查看 主机 名 。 


[root@serverl ~ ]# hostnamectl status 
Static hostname: serverl 
Icon name: computer- vm 


(2) 设置 新 的 主机 名 。 


[root@serverl ~ ]# hostnamect]l set- hostname my.smile.om 
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(3) 再 查看 主机 名 。 


[root@serverl ~ ]# hostnamectl status 
Static hostname: my.smile.om 


3. 使 用 NetworkManager 的 命令 行 接口 nmcli 修改 主机 名 
nmcli 可 以 修改 /etc/hostname 中 的 静态 主机 名 。 


// 查 看 主机 名 

[root@serverl ~ ]# mmcli general hostname 

my.smile.om 

// 设 置 新 主机 名 

[root@serverl ~ ]# rmcli general hostname serverl 

[root@serverl ~ ]# rmcli general hostname 

Serverl 

// 重 启 hostnamed 服务 让 hostnamectl 知道 静态 主机 名 已 经 被 修改 
[root@serverl ~ ]# systemctl] restart systemd- hostnamed 


1.8.3 使 用 系统 菜单 配置 网 络 


下 面 介绍 如 何在 Linux 系统 上 配置 服务 ,但 是 在 此 之 前 必须 先 保证 主 
机 之 间 能 够 顺畅 地 通信 。 如 果 网 络 不 通 ,即便 服务 部 署 得 再 正确 ,用 户 也 
无 法 顺利 访问 ,所 以 ,配置 网 络 并 确保 网 络 的 连通 性 是 学 习 部 署 Linux 服 
务 之 前 的 一 个 重要 知识 点 。 


[ES 


(1) 可 以 单 击 桌面 上 的 网 络 连接 图 标 虽 ,打开 网 络 配 置 界面 ,一 步 步 完 成 网 络 信 息 查 询 
和 网 络 配置 。 具 体 过 程 如 图 1-40 一 图 1-43 所 示 。 
lS 设置 网 络 - 日 x 
gp 
i 有 线 连 接 SS 
加 背景 CaL | Ly 
总 有线 已 连接 二 本 es 
关闭 QQ 多 Notset up 
有 从 设置 四 区 地 和 语言 
Ee 人 @ 通用 勿 bo 能 Ne * 国 汪 
@ 定位 服务 正 被 使 用 ， 
FREE 大 在 线 奈 号 
多 隐私 
x*) a [2 和 
[a 于 


图 1-40 单 击 有线 设置 "按钮 


图 1-41 选择 “打开 ”命令 来 激活 连接 并 单 击 齿轮 图 标 进行 配置 
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链 路 速度 1000 Mb/s 
IPv4 地 址 192.168.111.128 


IPv6 地 址 fe80::159c:4b20:d9c3:949d 
硬件 地 址 00:0C:29:A4:81:BF 
DNS 192.168.111.1 


国 自动 连接 (A) 
图 对 其 他 用 户 可 用 (0O) 


图 1-42 IPv4 的 当前 网 络 配置 信息 


EE 加 
IPv4 Method 自 自 动 (DHCP) 四 仅 本 地 链 路 
轿 手 动 © Disable 
Addresses 
地 址 于 网 擅 码 网 关 
rrr 
器 
DNS El + 
192.168.10.4| | 
Separate IP addresses with commas 
路 由 El rf 国 国 
地 址 子 网 捕 码 网 关 Metrc 
[ | 四 |] 


1-43 手动 配置 IPv4 等 信息 
(2) 设置 完成 后 , 单 击 “ 应 用 ”按钮 来 应 用 配置 ,并 回 到 图 1-44 所 示 的 界面 。 注 意 网 络 连 
接应 该 设置 为 打开” 状态; 如果 为 “关闭 ”状态 ,请 进行 修改 。 


国 有 时 需要 在 “关闭 ”和 “打开 ”之 间 切 换 一 次 ,才能 使 刚刚 设置 的 网 络 配置 
生效 。 
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四 设置 网 络 > 
全 WiFi 

有 线 连 接 + 
囊 亚 牙 [所 

1000 Mb/s [_] 闪 ， 

回 背景 一 EE 
名 通知 VPN + 
Q 搜索 Not set up 
喇 区 域 和 语言 
@ 通用 辅助 功能 Network Proxy < 图 | 


图 1-44 网络 配 置 界面 


首选 使 用 系统 菜单 配置 网 络 。 因 为 从 CentOS 7 开始 ,图 形 界 面 已 经 非常 完 
多 善 。 在 Linux 系统 梨 面 中 依次 选择 * 应 用 "-“ 系 统 工具 ”一 “设置 “网 络 " 命 
提示 令 , 同 样 可 以 打开 网 络 配置 界面 。 后 面 不 再 芙 述 。 


1.8.4 通过 网 卡 配置 文件 配置 网 络 


网 卡 IP 地 址 配置 的 是 否 正 确 是 两 台 服 务 器 是 否 可 以 相互 通信 的 前 提 。 在 Linux 系统 
中 ,一 切 都 是 文件 ,因此 配置 网 络 服务 的 工作 其 实 就 是 在 编辑 网 卡 配置 文件 。 

在 CentOS 5、CentOS 6 中 ,网 卡 配置 文件 的 前 缀 为 eth, 第 1 块 网 卡 为 eth0 ,第 2 块 网 卡 
为 ethl ,其 他 以 此 类 推 。 而 在 CentOS 7 中 ,网卡 配置 文件 的 前 组 则 以 ifcfg 开始 ,加 上 网 卡 
名 称 共同 组 成 了 网 卡 配 置 文件 的 名 字 ,例如 ifcfg-ens33 。 

现在 有 一 个 名 称 为 ifcfg-ens33 的 网 卡 设备 ,将 其 配置 为 开机 自 启动 ,并 且 IP 地 址 、 子 
网 .网 关 等 信息 由 人 工 指定 ,步骤 如 下 : 

(1) 切换 到 /etc/sysconfig/network-scripts 目录 中 (存放 着 网 卡 的 配置 文件 ) 。 

(2) 使 用 Vim 编辑 器 修改 网 卡 文件 ifcfg-ens33 , 逐 项 写 和 人 下 面 的 配置 参数 并 保存 退出 。 
由 于 每 台 设 备 的 硬件 及 架构 是 不 一 样 的 ,因此 请 读者 使 用 ifconfig 命令 自行 确认 各 自 网 卡 的 
默认 名 称 。 

。 设备 类 型 : TYPE 王 Ethernet; 
地 址 分 配 模式 : BOOTPROTO= static; 
。 网 卡 名 称 : NAME 一 ens33; 
是 否 启 动 : ONBOOT= yes; 
IP 地 址 : IPADDR 一 192. 168. 10. 1; 
。 子 网 掩 码 : NETMASK 一 255. 255. 255. 0; 
。 网 关 地 址 : GATEWAY 一 192. 168. 10. 1; 
DNS 地 址 : DNS1 王 192. 168. 10. 1 。 


(3) 重启 网 络 服务 并 测试 网 络 是 否 连通 。 
进入 到 网 卡 配 置 文件 所 在 的 目录 ,然后 编辑 网 卡 配置 文件 ,在 其 中 填 人 下 面 的 信息 。 


(4) 执行 重启 网 卡 设备 的 命令 (在 正常 情况 下 不 会 有 提示 信息 ), 然 后 通过 ping 命令 测 
试 网 络 能 否 连通 。 由 于 在 Linux 系统 中 ping 命令 不 会 自动 终止 ,因此 需要 手动 按 下 Ctrl 十 C 
组 合 键 来 强行 结束 进程 。 


1.8.5 使 用 图 形 界 面 配置 网 络 


使 用 图 形 界面 配置 网 络 是 比较 方便 简单 的 一 种 网 络 配置 方式 。 
(1) 1. 8.4 小 节 是 使 用 网 络 配置 文件 配置 网 络 服务 ,这 一 小 节 使 用 nmtui 命令 来 配置 网 
络 。 输 入 如 下 命令 。 


> Tx]< 
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(2) 显示 如 图 1-45 所 示 的 图 形 配 置 界面 。 选 择 “ 编 辑 连接 ”选项 并 按 Enter 键 或 单 击 


“确定 ”按钮 。 
(3) 如 图 1-46 所 示 ,选中 要 编辑 的 网 卡 名 称 , 使 用 Tab 键 切换 到 “编辑 "按钮, 按 Enter 


键 确认 。 


图 1-45 选择 “编辑 连接 "选项 并 按 Enter 键 或 单 击 “ 确 定 "按钮 。 图 1-46 选中 要 编辑 的 网 卡 名 称 


(4) 如 图 1-47 所 示 ,把 网 络 IPv4 的 配置 方式 改 成 “手动 ”。 


图 1-47 把 网 络 IPv4 的 配置 方式 改 成 “手动 ” 


(5) 现在 按 下 “显示 ”按钮 ,显示 信息 配置 框 ,如 图 1-48 所 示 。 在 服务 器 主机 的 网 络 配置 
信息 中 填写 IP 地 址 192. 168. 10. 1/24 等 信息 。 单 击 “ 确 定 ” 按 钮 保存 配置 ,如 图 1-49 所 示 。 

(6) 单 击 * 返 回 ? 按 钮 回 到 nmtui 图 形 界面 初始 状态 ,选择 “启用 连接 ”命令 ,启用 刚才 的 
连接 ens33, 前 面 有 “x* ”号 表示 启用 ,如 图 1-50 和 图 1-51 所 示 。 


图 1-48 信息 配置 框 


图 1-49 单 击 “ 确 定 ”按钮 保存 配置 


图 1-50 选择 “启用 连接 ”命令 图 1-51 启用 连接 
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(7) 至 此 ,在 Linux 系统 中 配置 网 络 的 步骤 就 结束 了 。 


[root@serverl ~ ]# ifconfig 
ens33: flags= 4163< UP,BRORDCRST,RUNNING,MULTTCRST> mtu 1500 
inet 192.168.10.1 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::159c:4b20:d9c3:949d prefixlen 64 soopeid 0x20< link> 
ether 00:0c:29:a4:81:bf txqueuelen 1000 (Ethernet) 
RX packets 324 bytes 33482 (32.6 KiB) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets 382 bytes 44619 (43.5 KiB) 
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


10: flags= 73< UP, LOOFBACK, RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 


Virbr0: flags= 4099< UP, PROADCAST, MILTICAST> mtu 1500 
inet 192.168.122.1 netmask 255.255.255.0 broadcast 192.168.122.255 


1.8.6 使 用 nmcli 命令 配置 网 络 


NetworkManager 是 管理 和 监控 网 络 设置 的 守护 进程 .设备 及 网 络 接口 。 一 个 网 络 接 
口 可 以 有 多 个 连接 配置 ,但 同时 只 有 一 个 连接 配置 生效 。 


1. 常用 命令 
表 1-6 是 nmcli 命令 的 常用 形式 及 功能 。 


表 1-6 nmcli 命 令 的 常用 形式 及 功能 


常用 命令 功 能 
nmcli connection show 显示 所 有 连接 
nmcli connection show --active 显示 所 有 活动 的 连接 状态 
nmcli connection show "ens33" 显示 网 络 连 接 配置 
nmcli device status 显示 设备 状态 
nmcli device show ens33 显示 网 络 接口 属性 
nmcli connection add help 查看 帮助 
nmcli connection reload 重新 加 载 配置 
nmcli connection down test2 禁用 test2 的 配置 。 注 意 ,一 个 网 卡 可 以 有 多 个 配置 
nmcli connection up test2 启用 test2 的 配置 
nmcli device disconnect ens33 禁用 ens33 网 卡 
nmcli device connect ens33 启用 ens33 网 卡 
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2. 创建 新 连接 配置 
(1) 创建 新 连接 配置 default,IP 地 址 通过 DHCP 自动 获取 。 


[root@ serverl ~ ]# mmcli connecticn show 

ens33 63c6ldfb- ac21- 4e5c- a00d- 6ldcf065b50a ethemet ens33 

Virbr0 也 57fbdql- 46b2- 455f- 8d88- cbf9a50c16fd bridge Virbr0 

[roct@ serverl ~ ]# mmcli connecticn ac conr name defeult type Ethemet ifname ens33 


连接 default(78eaf8e3-cab8-4aa8-b125-d89878417660) 已 成 功 添加 。 
(2) 删除 连接 。 


[root@serverl ~ ]# mmcli connecticn delete default 


成 功 删除 连接 default(78eaf8e3-cab8-4aa8-b125-d89878417660)。 
(3) 创建 新 的 连接 配置 test2 ,指定 静态 IP 地 址 ,不 自动 连接 。 


[roct@ serverl ~ ]# mmcli connecticn acd con- nare test2 jpv4.method manval ifname 
ens33 atoocnnect pp type Ethemet jpwv4.actiresses 192.168.10.100/24 gu 192.168.10.1 


连接 test2(b0458803-999f-418d-b6ef-6e066ddab378) 已 成 功 添加 。 
(4) 参数 说 明 如 下 。 

。 con-name: 指定 连接 名 字 , 没 有 特殊 要 求 。 

。 ipv4. method: 指定 获取 IP 地 址 的 方式 。 

ifname: 指定 网 卡 设备 名 ,也 就 是 此 配置 中 发 挥 作用 的 网 卡 。 
autoconnect: 指定 是 否 自动 启动 。 

。 ipv4. addresses: 指定 IPv4 地 址 。 

。 gw4: 指定 网 关 。 


3. 查看 /etc/sysconfig/network-scripts/ 目 录 
程序 代码 如 下 : 


[root@serverl ~ ]# 1s /etc/sysconfig/network- scripts/ifcfgr- * 

/etc/sysconfig/network— scripts/ifcfg- ens33 

/etc/sysoonfig/network— scripts/ifcfg- test2 

/etc/sysconfig/network- scripts/ifcfg- lo 

多 出 一 个 文件 /etc/sysconfig/network-scriptsy/ifcfg-test2 ,说 明 添加 操作 确实 有 效 。 
4. 启用 test2 连接 配置 

程序 代码 如 下 : 


[root@ serverl ~ ]# mmcli coonnection up test2 


连接 已 成 功 激活 (D-Bus 活动 路 径 为 /org/freedesktop/ NetworkManager/ ActiveConnection/ 9)。 
接 下 来 显示 连接 信息 。 命 令 如 下 : 
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5. 查看 是 否 生效 
程序 代码 如 下 : 


基本 的 IP 地 址 配置 成 功 , 按 q 键 退出 显示 。 


6. 修改 连接 设置 
(1) 修改 test2 为 自动 启动 。 


(2) 修改 DNS 为 192. 168. 10. 1 。 


(3) 添加 DNS 为 114. 114. 114. 114。 


(4) 检查 是 否 成 功 。 
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IPV4 FAILURE FATAI=no 

IEV6INTT= yes 

IPV6 MUTOOONF= yes 

IPV6 TEFROUIE= yes 

IPV6 FAILURE FATAI=no 

IEV6 ADDR GEN MDDE- stable— Privacy 
NAME= test2 

UUID= Tb0ae802- 1Hb7- 41a3- 92ad- 5a1587eb367f 
TEVICE= ens33 

CNBOOT= yes 

INS]= 192.168.10.1 

INS2= 114.114.114.114 


可 以 看 到 设置 均 已 生效 。 
(5) 删除 DNS。 


[root@serverl ~ ]# mmcli connection modify test2 - jpv4.dns 114.114.114.114 


(6) 修改 IP 地 址 和 默认 网 关 。 


[root@ serverl ~ ]# rmcli connection modify test2 ipv4.addresses 192.168.10.200/ 


24 gw4 192.168.10.254 


(7) 还 可 以 添加 多 个 IP。 


[roct@ serverl ~ ]# rmcli omnection modify test2 + jpvd4.actiresses 192.168.10.250/24 


[root@ serverl ~ ]# mmcli connecticn show "test2" 


7. nmcli 命令 和 /etc/sysconfig/network-scripts/ifcfg- x 文件 的 对 应 关系 
nmcli 命令 和 /etc/sysconfig/network-scripts/ifcfg- * 文件 的 对 应 关系 如 表 1-7 所 示 。 


表 1-7 nmceli 命令 和 /etc/sysconfig/network-scripts/ifcfg- x 文件 的 对 应 关系 


nmcli 命令 


/etc/sysconfig/network-scripts/ifcfg- * 文件 


ipv4. method manual 


BOOTPROTO= none 


ipv4. method auto 


BOOTPROTO= dhcp 


ipv4. addresses 192. 0. 2. 1/24 


IPADDR=192. 0.2.1 


PREFIX=24 
gw4 192.0.2.254 GATEWAY=192. 0. 2. 254 
ipv4. dns 8. 8. 8.8 DNS0= 8. 8. 8.8 
ipv4. dns-search example. com DOMAIN= example. com 
ipv4. ignore-auto-dns true PEERDNS= no 
connection. autoconnect yes ONBOOT= yes 
connection. id eth0 NAME 王 eth0 
connection. interface-name eth0 DEVICE= eth0 
802-3-ethernet. mac-address ... HWADDR™., 
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1.9 练习 题 
一 、 填空 题 
1. GNU 的 含义 是 。 
2. Linux 一 般 有 3 个 主要 部 分 : 。 
和 文件 主要 用 于 设置 基本 的 网 络 配置 ,包括 主机 名 称 、 网 关 等 。 
4. 一 块 网 卡 对 应 一 个 配置 文件 ,配置 文件 位 于 目录 中 ,文件 名 以 
开始 。 
5, 文件 是 DNS 客户 端 用 于 指定 系统 所 用 的 DNS 服务 器 的 IP 地 址 。 
6. POSIX 是 的 缩写 ,重点 在 规范 核心 与 应 用 程序 之 间 的 接口 ,这 是 由 美国 电 
气 与 电子 工程 师 学 会 (IEEE) 所 发 布 的 一 项 标准 。 
7. 当前 的 Linux 常见 的 应 用 可 分 为 与 两 个 方面 。 
8. Linux 的 版 本 分 为 和 两 种 。 
9. 安装 Linux 最 少 需要 两 个 分 区 ,分别 是 。 
10. Linux 默认 的 系统 管理 员 账 号 是 。 
二 、 选 择 题 
1. Linux 最 早 是 由 计算 机 爱好 者 ( ) 开 发 的 。 
A. Richard Petersen B. Linus Torvalds 
C. Rob Pick D. Linux Sarwar 
2. 下 列 系 统 是 自由 软件 的 是 ( Va 
A. Windows XP B. UNIX C. Linux D. Windows 2008 
3. 下 列 选 项 不 是 Linux 的 特点 的 是 ( ss 
A. 多 任务 B. 单 用 户 C. 设备 独立 性 D. 开放 性 
4. Linux 的 内 核 版 本 2. 3.20 是 ( 。””) 的 版 本 。 
A. 不 稳定 B. 稳定 的 C. 第 三 次 修订 D. 第 二 次 修订 
5， Linux 安装 过 程 中 的 硬盘 分 区 工具 是 ( ”)。 
A. PQmagic B. FDISK C. FIPS D. Disk Druid 
6. Linux 的 根 分 区 系统 类 型 可 以 设置 成 (。“)。 
A. FAT16 B. FAT32 C. ext4 D. NTFS 
7. 能 用 来 显示 Server 当前 正在 监听 的 端口 的 命令 是 ( )。 
A. ifconfig B. netlst C. iptables D. netstat 
8. 存放 机 器 名 到 IP 地 址 的 映射 的 文件 是 (  )。 
A. /etc/hosts B. /etc/host 
C. /etc/host. equiv D. /etc/hdinit 


9. Linux 系统 提供 了 一 些 网 络 测试 命令 。 当 与 某 远 程 网 络 连接 不 上 时 ,就 需要 跟踪 路 
由 查看 ,以 便 了 解 在 网 络 的 什么 位 置 出 现 了 问题 ,请 从 下 面 的 命令 中 选 出 满足 该 目的 的 
命令 。( ) 
A. ping B. ifconfig C. traceroute D. netstat 


2T%]1< 
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三 、 补 充 表格 
请 将 nmcli 命令 或 功能 补充 完整 , 见 表 1-8。 
表 1-8 补充 命令 或 功能 
常用 命令 功 能 
显示 所 有 连接 
显示 所 有 活动 的 连接 状态 


nmcli connection show "ens33" 


nmcli device status 


nmcli device show ens33 


查看 帮助 
重新 加 载 配置 


nmcli connection down test2 


nmcli connection up test2 


禁用 ens33 网 卡 


nmcli device connect ens33 


四 、 简 答题 

1. 简 述 Linux 的 体系 结构 。 

2. 使 用 虚拟 机 安装 Linux 系统 时 ,为 什么 要 先 选择 稍 后 安装 操作 系统 ,而 不 是 去 选择 
CentOS 7 系统 镜像 光盘 ? 

3. 简 述 RPM 与 yum 软件 仓库 的 作用 。 

4. 安装 Linux 系统 的 基本 磁盘 分 区 有 了 哪些? 

5. Linux 系统 支持 的 文件 类 型 有 哪些 ? 

6. 丢失 root 口令 如 何 解 决 ? 

7. CentOS 7 系统 采用 了 systemd 作为 初始 化 进程 .那么 如 何 查 看 某 个 服务 的 运行 
状态 ? 


1.10 项 目 实录 : Linux 系统 的 安装 与 基本 配置 


1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观看 视频 。 

2. 项 目 背 景 

某 计 算 机 已 经 安装 了 Windows 7/8 操作 系统 ,该 计算 机 的 磁盘 分 区 情况 如 图 1-52 所 
示 , 要 求 增 加 安装 CentOS 7, 并 保证 原来 的 Windows 7/8 仍 可 使 用 。 


3. 项 目 分 析 
从 图 1-52 中 可 知 ,此 硬盘 约 有 300GB, 分 为 C.D、E 三 个 分 区 。 对 于 此 类 硬盘 ,比较 简 
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便 的 操作 方法 是 将 EE 盘 上 的 数据 转移 到 C 盘 或 者 DD 盘 , 而 利用 EE 盘 的 硬盘 空间 来 安装 


Linux。 


对 于 要 安装 的 Linux 操作 系统 ,需要 进行 磁盘 分 区 规划 ,如 图 1-53 所 示 。 


硬盘 主 分 区 (C:100GB) 


1-52 Linux 安装 硬盘 分 区 


硬盘 大 小 为 100GB ,分 区 规划 如 下 : 


。 /boot 分 区 大 小 为 600MB; 
/swap 分 区 大 小 为 4GB; 
/分 区 大 小 为 10GB; 

。 /usr 分 区 大 小 为 8GB; 
/home 分 区 大 小 为 8GB; 
。 /var 分 区 大 小 为 8GB; 

。 /tmp 分 区 大 小 为 6GB; 
预 留 55GB 不 进行 分 区 。 


4. 深度 思考 


在 观看 视频 时 思考 以 下 几 个 问题 。 


(1) 如 何 进行 双 启动 安装 ? 


(2) 分 区 规划 为 什么 必须 要 慎之 又 慎 ? 
(3) 安装 系统 前 ,对 下 盘 是 如 何 处 理 的 ? 


主 分 区 (D:100GB) 


主 分 区 (E:100GB) 


/( 根 目录 ) 
/tmp /home /var /boot /usr 
/userl /user2 /user3 


图 1-53 Linux 硬盘 分 区 规划 


(4) 第 一 个 系统 的 虚拟 内 存 设置 至 少 多 大 ? 为 什么 ? 


5. 做 一 做 


根据 项 目 要 求 及 视频 内 容 , 将 项 目 完整 地 做 一 遍 。 


1.11 实 训 : 安装 CentOS 操作 系统 


由 于 公司 中 的 部 分 Windows 服务 器 频繁 遭受 病毒 .木马 的 威胁 ,同时 鉴于 Linux 系统 
在 服务 器 领域 的 稳定 性 ,公司 决定 安装 CentOS 7 操作 系统 ,并 在 该 系统 之 上 构建 各 种 服务 


器 。 要 求 如 下 。 


(1) 在 宿主 机 上 安装 VM Workstation 。 


(2) 安装 CentOS 7 虚拟 机 Serverl ,并 进行 网 络 配置 ,使 之 能 连 上 Internet。 


(3) 重 置 Serverl 的 管理 员 密 码 。 


(4) 克隆 生成 一 个 CentOS 7 操作 系统 Clientl ,对 该 系统 进行 基本 网 络 配置 。 


站 


(5) 对 于 Serverl 和 Clientl ,利用 不 同 的 网 络 连接 方式 测试 2 台 计算 机 的 连通 性 ,从 而 
了 解 虚拟 机 中 不 同 网 络 连接 方式 的 不 同 。 


第 2 章 
使 用 常用 的 Linux 命令 


在 文本 模式 和 终端 模式 下 ,经常 使 用 Linux 命令 来 查看 系统 的 状态 和 监视 
系统 的 操作 ,如 对 文件 和 目录 进行 浏览 、 操 作 等 。 在 Linux 较 早 的 版 本 中 ,由 于 
不 支持 图 形 化 操作 ,用 户 基 本 上 都 是 使 用 命令 行 方式 对 系统 进行 操作 ,所 以 掌 
握 常 用 的 Linux 命令 是 必要 的 。 本 章 将 对 Linux 常用 的 命令 进行 分 类 介绍 。 


。 Linux 系统 的 终端 窗口 和 命令 基础 。 
[SSD) 六 人 有 好 关 命 人 


。 系统 信息 类 命令 。 
。 进程 管理 类 命令 及 其 他 常用 命令 。 


2.1 Linux 命令 基础 


掌握 Linux 命令 对 于 管理 Linux 网 络 操作 系统 是 非常 必要 的 。 
2.1.1 了 解 Linux 命令 的 特点 


在 Linux 系统 中 命令 区 分 大 小 写 。 在 命令 行 中 ,可 以 使 用 Tab 键 来 自 国 
动 补 齐 命 令 ， 即 可 以 只 输入 命令 的 前 几 个 字母 ， 然后 按 Tab 键 。 

按 Tab 键 时 ,如 果 系 统 只 找到 一 个 和 输入 字符 相 匹 配 的 目录 或 文件 ， 
则 自动 补 齐 ; 如 果 没 有 匹配 的 内 容 或 有 多 个 相 匹配 的 名 字 , 系 统 将 发 出 警 
鸣 声 ,再 按 一 下 Tab 键 将 列 出 所 有 相 匹 配 的 内 容 ( 如 果 有 ) ,以 供用 户 选择 。 
例如 ,在 命令 提示 符 后 输入 mou, 然 后 按 Tab 键 ,系统 将 自动 补 全 该 命令 为 mount。 如 果 在 
命令 提示 符 后 只 输入 mo, 然 后 按 Tab 键 ,此 时 将 警 鸣 一 声 ;再 次 按 Tab 键 ,系统 将 显示 所 有 
以 mo 开头 的 命令 。 

另外 ,利用 向 上 或 向 下 的 光标 键 可 以 翻 查 曾 经 执行 过 的 历史 命令 ,并 可 以 再 次 执行 。 

如 果 要 在 一 个 命令 行 上 输入 和 执行 多 条 命令 .可 以 使 用 分 号 来 分 隔 命 令 。 例 如 :“cd / ;ls”。 

断 开 一 个 长 命令 行 可 以 使 用 反 斜 杠 “\”, 此 符号 可 以 将 一 个 较 长 的 命令 分 成 多 行 表达 ， 
增强 命令 的 可 读 性 。 执 行 后 ,Shell 自动 显示 提示 符 “ 二 ”, 表 示 正 在 输入 一 个 长 命令 ,此 时 可 
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继续 在 新 行 上 输入 命令 的 后 续 部 分 。 
2.1.2 后 台 运 行程 序 


一 个 文本 控制 台 或 一 个 仿真 终端 在 同一 时 刻 只 能 运行 一 个 程序 或 命令 。 在 执行 的 命令 
未 结束 前 ,一般 不 能 进行 其 他 操作 ,此 时 可 采用 将 程序 在 后 台 运 行 的 方式 ,以 释放 控制 台 或 
终端 ,使 其 仍 能 进行 其 他 操作 。 要 使 程序 以 后 台 的 方式 运行 ,只 须 在 要 执行 的 命令 后 跟 上 一 
个 “&.” 符 号 即 可 ,例如 “find -name httpd. conf&”。 


2.2 ”熟练 使 用 文件 目录 类 命令 


文件 目录 类 命令 是 对 文件 和 目录 进行 各 种 操作 的 命令 。 
2.2.1 熟练 使 用 浏览 目录 类 命令 


1. 使 用 pwd 命令 
pwd 命令 用 于 显示 用 户 当前 所 处 的 目录 。 如 果 用 户 不 知道 自己 当前 所 处 的 目录 ,就 必 
须 使 用 它 。 例 如 : 


[root@ serverl etc]#pwd 
/etc 


2. 使 用 cd 命令 

cd 命令 用 来 在 不 同 的 目录 中 进行 切换 。 用 户 在 登录 系统 后 ,会 处 于 用 户 的 家 目录 
($ HOME) 中 ,该 目录 一 般 以 /home 开始 ,后 跟 用 户 名 ,这 个 目录 就 是 用 户 的 初始 登录 目录 
(root 用 户 的 家 目录 为 /root)。 如 果 用 户 想 切换 到 其 他 的 目录 中 ,就 可 以 使 用 cd 命令 ,后 跟 
想 要 切换 的 目录 名 。 例 如 : 


[root@serverl etc]j#0d /改变 目录 位 置 至 用 户 登录 时 的 工作 目录 
[root@serverl ~ ]#0d dirl // 改 变 目 录 位 置 至 当前 目录 下 的 dirl 子 目录 
[root@serverl dirlj#0d~ // 改 变 目 录 位 置 至 用 户 登 录 时 的 工作 目录 明 户 的 家 目录 ) 


[root@serverl ~ ]#0d .. // 改 变 目 录 位 置 至 当前 目录 的 父 目录 

[root@serverl /]#cd // 改 变 目 录 位 置 至 用 户 登 录 时 的 工作 目录 

[root@serverl ~ 大 od ../etc ”// 改 变 目 录 位 置 至 当前 目录 的 父 目录 下 的 etc 子 目录 

[root@serverl etcj# od /dir/sibdirl // 利 用 绝对 路 径 表示 改变 目录 到 /dirlaibdirl 目 录 下 


. 在 Linux 系统 中 ,用 “.” 代 表 当 前 目录 ;用 “..” 代 表 当 前 目录 的 父 目 录 ; 用 
Ye “一 ”代表 用 户 的 个 人 家 目录 ( 主 目 录 )。 例 如 ,root 用 户 的 个 人 主 目 录 是 /root, 则 
说 明 不 带 任何 参数 的 cd 命令 相当 于 “cd 一 ”, 即 将 目录 切换 到 用 户 的 家 目录 。 


3. 使 用 ls 命令 
ls 命令 用 来 列 出 文件 或 目录 信息 。 该 命令 的 语法 为 : 


1s [参数 ] [目录 或 文件 ] 
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ls 命令 的 常用 参数 选项 如 下 。 

。 -a: 显示 所 有 文件 ,包括 以 “. ”开头 的 隐藏 文件 。 

。 -A: 显示 指定 目录 下 所 有 的 子 目录 及 文件 ,包括 隐藏 文件 ,但 不 显示 *. ”和 *..”。 
。-c: 按 文件 的 修改 时 间 排 序 。 

。 -C: 分 成 多 列 显示 各 行 。 

。 -d: 如 果 参 数 是 目录 , 则 只 显示 其 名 称 而 不 显示 其 下 的 各 个 文件 。 往 往 与 -1” 选 项 一 
起 使 用 ,以 得 到 目录 的 详细 信息 。 

-1: 以 长 格 形式 显示 文件 的 详细 信息 。 

-i: 在 输出 的 第 一 列 显示 文件 的 i 节点 号 。 

例如 


[root@serverl ~ ]#1s // 列 出 当前 目录 下 的 文件 及 目录 

[root@serverl ~ ] 才 1s -a 。 // 列 出 包括 以 *“." 开 始 的 隐藏 文件 在 内 的 所 有 文件 

[rooteserverl ~ ] 提 1 -t ”// 依 照 文件 最 后 修改 时 间 的 顺序 列 出 文件 

[rooteserverl ~] 硅 1s -F  ”/* 列 出 当前 目录 下 的 文件 名 及 其 类 型 。 以 /结尾 表示 为 目录 名 ,以 
* 结尾 表示 为 可 执行 文件 ,以 8 结尾 表示 为 符号 连接 */ 

[rooteserverl ~ 震 19 -1 // 列 出 当前 目录 下 所 有 文件 的 权限 .所 有 者 ,文件 大 小 、 修 改 时 间 及 名 称 

[root@serverl ~ ]#1s -1g // 显 示 出 文件 所 有 者 的 工作 组 名 

[rooteserverl ~]#1s -R ”// 显 示 目 录 下 以 及 其 所 有 子 目录 的 文件 名 


2.2.2 熟练 使 用 浏览 文件 类 命令 


1. 使 用 cat 命令 
cat 命令 主要 用 于 滚屏 显示 文件 内 容 或 是 将 多 个 文件 合并 成 一 个 文件 。 该 命令 的 语 
法 为 : 


cat [参数 ] 文件 名 


cat 命令 的 常用 参数 选项 如 下 。 

。-b: 对 输出 内 容 中 的 非 空 行 标注 行 号 。 

。-n: 对 输出 内 容 中 的 所 有 行 标注 行 号 。 

通常 使 用 cat 命令 查看 文件 内 容 。 但 是 cat 命令 的 输出 内 容 不 能 够 分 页 显示 ,要 查看 超 
过 一 屏 的 文件 内 容 , 需 要 使 用 more 或 less 等 其 他 命令 。 如 果 在 cat 命令 中 没有 指定 参数 ， 
则 cat 会 从 标准 输入 (键盘 ) 中 获取 内 容 。 

例如 ,要 查看 /soft/filel 文件 内 容 的 命令 为 : 


[root@serverl ~ ]# cat /soft/filel 


利用 cat 命令 还 可 以 合并 多 个 文件 。 例 如 ,把 filel 和 file2 文件 的 内 容 合 并 为 file3 , 且 
file2 文件 的 内 容 在 filel 文件 的 内 容 前 面 , 则 命令 为 : 


[root@serverl ~ ]#cat file2 filel> file3 
// 如 果 file3 文 件 存在 ,此 命令 的 执行 结果 会 覆盖 file3 文 件 中 原 有 内 容 
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[root@serverl ~ ]#cat file? filel> > file3 
// 如 果 file3 文 件 存在 ,此 命令 的 执行 结果 将 把 Sile2 和 filel 文 件 的 内 容 附 加 到 file3 文 件 
中 原 有 内 容 的 后 面 


2. 使 用 more 命令 

在 使 用 cat 命令 时 如 果 文 件 太 长 ,用 户 只 能 看 到 文件 的 最 后 一 部 分 ,这 时 可 以 使 用 more 
命令 一 页 一 页 地 分 屏 显 示 文 件 的 内 容 。more 命令 通常 用 于 分 屏 显 示 文 件 内 容 。 大 部 分 情 
况 下 ,可 以 不 加 任何 参数 选项 来 执行 more 命令 查看 文件 内 容 。 执 行 more 命令 后 ,进入 
more 状态 , 按 Enter 键 可 以 向 下 移动 一 行 ; 按 Space 键 可 以 向 下 移动 一 页 ; 按 q 键 可 以 退出 
more 命令 。 该 命令 的 语法 为 : 


more [参数 ] 文件 名 


more 命令 的 常用 参数 选项 如 下 。 

。 -num: 这 里 的 num 是 一 个 数字 ,用 来 指定 分 页 显示 时 每 页 的 行 数 。 
。 十 num: 指定 从 文件 的 第 num 行 开 始 显示 。 

例如 : 


[root@serverl ~ ]#more filel /以 分 页 方式 查看 各 ilel 文件 的 内 容 
[root@serverl ~ ] 章 cat filel | more 。 // 以 分 页 方式 查看 filel 文 件 的 内 容 


more 命令 经 常 在 管道 中 被 调用 以 实现 各 种 命令 输出 内 容 的 分 屏 显 示 。 上 面 的 第 二 个 
命令 就 是 利用 Shell 的 管道 功能 分 屏 显 示 filel 文件 的 内 容 。 关 于 管道 的 内 容 在 第 4 章 中 有 
详细 介绍 。 


3. 使 用 less 命令 

less 命令 是 more 命令 的 改进 版 , 比 more 命令 的 功能 强大 。more 命令 只 能 向 下 翻 页 ， 
而 less 命令 可 以 向 下 、 向 上 翻 页 ,甚至 可 以 前 ,后 、 左 、 右 移动 。 执 行 less 命令 后 ,进入 less 状 
态 , 按 Enter 键 可 以 向 下 移动 一 行 ; 按 Space 键 可 以 向 下 移动 一 页 ; 按 b 键 可 以 向 上 移动 一 
页 ,也 可 以 用 光标 键 向 前 、 后 ,左右 移动 ; 按 q 键 可 以 退出 less 命令 。 

less 命令 还 支持 在 一 个 文本 文件 中 进行 快速 查找 。 先 按 下 和 斜 杠 键 / ,再 输入 要 查找 的 单 
词 或 字符 。less 命令 会 在 文本 文件 中 进行 快速 查找 ,并 把 找到 的 第 一 个 搜索 目标 高 亮 显 示 。 
如 果 和 希望 继续 查找 ,就 再 次 按 下 斜 杠 键 / ,再 按 Enter 键 即 可 。 

less 命令 的 用 法 与 more 基本 相同 ,下 面 举 例 说明 。 本 例 的 前 提 条 件 是 已 经 安装 了 
httpd 服务 ,否则 需要 先 安装 httpd 服务 。 安 装 httpd 服务 的 步骤 如 下 


如 果 能 够 连接 互联 网 ,并 且 有 较 高 网 速 , 则 可 以 直接 使 用 系统 自 带 的 yum 源 


文件 ,不 需要 单独 编辑 yum 源 文 件 。 这 时 请 直接 跳 到 步骤 (3) ,而 忽略 前 两 步 。 
提 示 。 后面 在 使 用 yum 安装 软件 时 也 依据 此 原则 ,不 再 蓉 述 。 


pe 


(1) 挂 载 ISO 安装 镜像 。 


(2) 制作 用 于 安装 的 yum 源 文件 (后 面 的 所 有 项 目的 yum 源 不 再 熬 述 ) 。 
先 删除 /etc/yum. repos. d/ 目录 下 的 所 有 文件 ,再 编辑 生成 /etc/yum. repos. d/ dvd. repo 


源 文件 的 内 容 如 下 。 


(3) 使 用 yum 命令 安装 httpd 软件 包 。 


(4) 使 用 less 命令 。 


4. 使 用 head 命令 
head 命令 用 于 显示 文件 的 开头 部 分 ,默认 情况 下 只 显示 文件 的 前 10 行内 容 。 该 命令 的 
语法 为 ， 


head 命令 的 常用 参数 选项 如 下 。 

。-n num: 显示 指定 文件 的 前 num 行 。 

。 -cnum: 显示 指定 文件 的 前 num 个 字符 。 
例如 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 
[recteserverl ~ 震 head -n 20 /etc/httpd/ocnf/httpd.oonf // 显 示 Httpd.conf 文 件 的 前 9 行 


5. 使 用 tail 命令 
tail 命令 用 于 显示 文件 的 末尾 部 分 ,默认 情况 下 只 显示 文件 的 末尾 10 行内 容 。 该 命令 


tail 命令 的 常用 参数 选项 如 下 。 

。，-n num: 显示 指定 文件 的 末尾 num 行 。 

。 -cnum: 显示 指定 文件 的 末尾 num 个 字符 。 

。 十 num: 从 第 num 行 开 始 显示 指定 文件 的 内 容 。 
例如 : 


[roct@serverl ~ 圭 tail -n 20 /etc/httpd/oonf/httpd.oonf // 显 示 httpd.conE 文 件 的 末尾 30 行 


tail 命令 最 强大 的 功能 是 可 以 持续 刷新 一 个 文件 的 内 容 , 当 想 要 实时 查看 最 新 日 志文 件 
时 ,该 功能 特别 有 用 ,此 时 的 命令 格式 为 "tail -f 文件 名 ”。 


[root@rhel7- 1 ~ ]#tail ~- £ /var/log/messages 

May 2 21:28:24 localhost dbus- daemon: dbus[815] : [system] Activating via 
Systemd: service name= 'net.reactivated.Fprint' unit= 'fprintd.service" 

May 2 21:28:24 localhost systemd: Started Fingerprint Authentication Daemon. 
May 2 21:28:28 localhost su: (to root) yangyun on pts/0 

May 2 21:28:54 localhost journal: No devices in use, exit 


2.2.3 熟练 使 用 目录 操作 类 命令 


1. 使 用 mkdir 命令 
mkdir 命令 用 于 创建 一 个 目录 。 该 命令 的 语法 为 : 


mkdir [参数 ] 目录 名 


上 述 目录 名 可 以 为 相对 路 径 , 也 可 以 为 绝对 路 径 。 

mkdir 命令 的 -p 参数 表示 在 创建 目录 时 ,如 果 父 目录 不 存在 , 则 同时 创建 该 目录 及 该 目 
录 的 父 目 录 。 

例如 : 

[root@serverl ~ ]#mkdir dirl // 在 当前 目录 下 创建 dirl 子 目录 


[root@serverl ~ ]#mkdir ~-p dir2/subdir2 
// 在 当前 目录 的 dir2 目 录 中 创建 subdir2 子 目录 。 如 果 dir2 目 录 不 存在 , 则 同时 创建 
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2. 使 用 rmdir 命令 
rmdir 命令 用 于 删除 空 目 录 。 该 命令 的 语法 为 : 


mdir [参数 ] 目录 名 


上 述 目录 名 可 以 为 相对 路 径 , 也 可 以 为 绝对 路 径 。 但 所 删除 的 目录 必须 为 空 目录 。 

rmdir 命令 的 -p 参数 表示 在 删除 目录 时 一 起 删除 父 目 录 , 但 父 目 录 中 必须 没有 其 他 目 
录 及 文件 。 

例如 : 


[root@serverl ~ ]# rmir dirl // 在 当前 目录 下 删除 dirl 空 子 目 录 
[root@serverl ~ ]# mncHr ~-p dir2/subdir2 


// 删 除 当前 目录 中 的 dir2/subdir2 子 目录 。 删 除 sabdir2 目录 时 ,如 果 dir2 目录 中 无 其 他 目录 , 则 一 起 
被 删除 


2.2.4 熟练 使 用 cp 命令 


1. cp 命令 的 使 用 方法 
cp 命令 主要 用 于 文件 或 目录 的 复制 。 该 命令 的 语法 为 : 


中 [少数] 源 文件 目标 文件 


cp 命令 的 常用 参数 选项 如 下 。 

。 -a: 尽 可 能 将 文件 状态 .权限 等 属性 按照 原状 予以 复制 。 

。 -f: 如 果 目 标 文件 或 目录 存在 , 先 删除 它们 再 进行 复制 ( 即 覆 盖 ) ,并 且 不 提示 用 户 。 

。 -i: 如 果 目 标 文件 或 目录 存在 ,提示 是 否 获 盖 已 有 的 文件 。 

。 -R: 递归 复制 目录 , 即 包含 目录 下 的 各 级 子 目录 。 

2. 使 用 cp 命令 的 范例 

复制 (cp) 这 个 指令 是 非常 重要 的 ,不 同 身份 者 执行 这 个 指令 会 有 不 同 的 结果 产生 ,尤其 是 
-a\-p 选项 ,对 于 不 同 身份 来 说 差异 非常 大 。 下 面 的 练习 中 ,有 的 身份 为 root, 有 的 身份 为 一 般 
账号 (在 这 里 用 bobby 这 个 账号 ) ,练习 时 请 特别 注意 身份 的 差别 。 请 观察 下 面 的 复制 练习 。 

【 例 2-1〗 用 root 身份 将 家 目录 下 的 . bashrc 复制 到 /tmp 下 ,并 更 名 为 bashrc。 


[root@serverl ~ ]# 9 ~ /.bashrc /bmp/bashrc 

[root@serverl ~ ]#9 -i ~/.bashrc /bmp/bashrc 

cb: overwrite '/tmp/bashrc'? n 不 覆盖 ,y 为 覆盖 

// 重 复 做 两 次 ,由 于 /bm 下 已 经 存在 bashrc 了 ,加 上 -i 选项 后 , 则 在 覆盖 前 会 询问 使 用 者 是 否 
确定 。 可 以 按 下 n 或 者 Y 进 行 第 二 次 确认 


【 例 2-2】 变换 目录 到 /tmp, 并 将 /var/log/wtmp 复制 到 /tmp 且 观 察 属性 。 


[root@serverl ~ ]# cd /bmp 


[root@serverl tmp]#qp /war/log/wtmp . // 想 要 复制 到 当前 目录 ,最 后 的 “.” 不 要 忘记 
[rooteserverl tmp]#1s -1 /var/log/wirp wp 
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-IW mw- r-— 1 root utmp 96384 Sep 24 11:54/var/log/wtmp 
— IW- I--Ir-— 1 root root 96384 Sep 24 14:06 wtmp 


// 注 意 上 面 的 特殊 字体 ,在 不 加 任何 选项 复制 的 情况 下 ,文件 的 某 些 属性 /权限 会 改变 。 这 是 个 很 重要 
的 特性 , 连 文件 建立 的 时 间 也 不 一 样 了 ,要 注意 


那 如 果 你 想 要 将 文件 的 所 有 特性 都 一 起 复制 过 来 该 怎么 办 呢 ? 可 以 加 上 -a, 如 下 所 示 。 


[root@serverl tp]# Pp -a /var/log/wirp wtmp 2 
[root@serverl tp]#1s -1 /var/log/wirp wtmp 2 

— IW- IW- r-— 1 root utmp 96384 Sep 24 11:54/var/log/wtmp 
一 Pr IWw-I-- 1 root utbmp 96384 Sep 24 11:54 wtmp 2 


cp 的 功能 很 多 。 由 于 我 们 常常 会 进行 一 些 数据 的 复制 ,所 以 也 会 常常 用 到 这 个 指令 。 
一 般 来 说 ,如 果 复 制 别 人 的 数据 (当然 ,你 必须 要 有 read 的 权限 ) 时 ,总 是 希望 复制 到 的 数据 
最 后 是 自己 的 。 所 以 ,在 预 设 的 条 件 中 ,cp 的 源 文件 与 目的 文件 的 权限 是 不 同 的 ,目的 文件 
的 拥有 者 通常 会 是 指令 操作 者 本 身 。 

举例 来 说 , 例 2-2 中 由 于 是 root 的 身份 ,因此 复制 过 来 的 文件 拥有 者 与 群 组 就 改变 成 为 
root 所 有 。 由 于 具有 这 个 特性 ,因此 在 进行 备份 的 时 候 , 某 些 需要 特别 注意 的 特殊 权限 文 
件 , 例 如 密码 文件 (/etc/shadow) 以 及 一 些 配 置 文件 ,就 不 能 直接 以 cp 来 复制 ,而 必须 要 加 
上 -a 或 -p 等 属性 。 


国 如 果 你 想 要 复制 文件 给 其 他 使 用 者 ,也 必须 要 注意 到 文件 的 权限 (包含 读 、 
注 亲 写 、 执 行 以 及 文件 拥有 者 等 ); 和 否则 ,其 他 人 还 是 无 法 针对 你 给 的 文件 进行 修改 。 
注 忌 


【 例 2-3】 复制 /etc/ 这 个 目录 下 的 所 有 内 容 到 /tmp 里 面 。 


[root@serverl tmp]# qp /etc /bm 


cb:amitting directory'/etc' // 如 果 是 目录 , 则 不 能 直接 复制 ,要 加 上 -上 选项 
[root@serverl tmp]# ap -r /etc /bm 


// 还 是 要 再 次 强调 : 加 上 -上 选项 可 以 复制 目录 ,但 是 文件 与 目录 的 权限 可 能 会 被 改变 ,所 以 也 可 以 利 
用 中 -a /etc /am 命令 ,尤其 是 在 备份 的 情况 下 


【 例 2-4】 若 一 /. bashrc 比 /tmp/bashrc 新 ,就 复制 过 来 。 


[root@ serverl tp]# ~-u~ /.bashrc /bmp/bashrc 
/1/ -u 的 特性 是 在 目标 文件 与 来 源 文件 有 差异 时 才 会 复制 ,所 以 常 被 用 于 “备份 "的 工作 当中 


思考 : 你 能 否 使 用 bobby 身份 完整 地 复制 /var/log/wtmp 文件 到 /tmp 下 面 ,并 更 名 为 
bobby_wtmp 呢 ? 


参考 答案 : 


[babbyeserverl ~ ]$ gp -a /var/log/wtrp /bmp/bcbby wtmp 
[bahbyeserverl ~ ]$ 1s -1 /var/log/wtrp /tmp/bcbby wimp 
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2.2.5 熟练 使 用 文件 操作 类 命令 


1. 使 用 mv 命令 
mv 命令 主要 用 于 文件 或 目录 的 移动 或 改名 。 该 命令 的 语法 为 : 


m [参数 ] 源 文件 或 目录 目标 文件 或 目录 


mv 命令 的 常用 参数 选项 如 下 。 

。 -i: 如 果 目 标 文件 或 目录 存在 时 ,提示 是 否 覆 盖 目 标 文件 或 目录 。 

。 了: 无 论 目标 文件 或 目录 是 否 存在 ,直接 覆盖 目标 文件 或 目录 ,不 提示 。 
例如 


/将 当前 目录 下 的 testa 文 件 移动 到 /usr/ 目 录 下 ,文件 名 不 变 
[root@ serverl ~ ]#my testa /usr/ 

// 将 /usr/testa 文 件 移动 到 根 目录 下 ,移动 后 的 文件 名 为 tt 
[root@ serverl ~ ]#my /usr/testa /tt 


2. 使 用 rm 命令 
rm 命令 主要 用 于 文件 或 目录 的 删除 。 该 命令 的 语法 为 : 


mm [参数 ] 文件 名 或 目录 名 


rm 命令 的 常用 参数 选项 如 下 。 

。 -i: 删除 文件 或 目录 时 提示 用 户 。 

。 -f: 删除 文件 或 目录 时 不 提示 用 户 。 

，-R: 递归 删除 目录 , 即 包含 目录 下 的 文件 和 各 级 子 目录 。 
例如 : 


1/ 删除 当前 目录 下 的 所 有 文件 ,但 不 删除 子 目 录 和 隐藏 文件 

[root@ serverl ~ ]#mkdir /dirl;od /dirl 

[root@serverl dirl]#touch aa.txt Lb.txt; mkdir subdirl1;11 

[root@server] dirl]#m * 

// 下 行 删除 当前 目录 下 的 子 目 录 subdir11, 包 含 其 下 的 所 有 文件 和 子 目录 ,并 且 提 示 用 户 确认 
[root@serverl dir]#m- iR subdirll 


3. touch 命令 
touch 命令 用 于 建立 文件 或 更 新 文件 的 修改 日 期 。 该 命令 的 语法 为 : 


touch [ 戎 数 ] 文件 名 或 目录 名 


touch 命令 的 常用 参数 选项 如 下 。 
。 -dyyyymmdd: 把 文件 的 存 取 或 修改 时 间 改 为 yyyy 年 mm 月 dd 日 。 
。 -a: 只 把 文件 的 存 取 时 间 改 为 当前 时 间 。 
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。，-m: 只 把 文件 的 修改 时 间 改 为 当前 时 间 。 
例如 : 


[root@serverl ~ ] 间 touch aa // 如 果 当 前 目录 下 存在 aa 文件 , 则 把 aa 文 件 的 存 取 和 修改 时 间 
改 为 当前 时 间 。 如 果 不 存在 aa 文件 , 则 新 建 aa 文件 
[rocteserverl ~ ]#touch -d 20180808 aa // 将 aa 文件 的 存 取 和 修改 时 间 改 为 2018 年 8 月 8 日 


4. 使 用 diff 命令 
diff 命令 用 于 比较 两 个 文件 内 容 的 不 同 。 该 命令 的 语法 为 : 


diff [参数 ] 源 文件 目标 文件 


diff 命令 的 常用 参数 选项 如 下 。 

。 -a: 将 所 有 的 文件 当 作 文本 文件 处 理 。 

。 -b: 忽略 空格 造成 的 不 同 。 

。 -B: 忽略 空 行 造成 的 不 同 。 

。 -q: 只 报告 什么 地 方 不 同 ,不 报告 具体 的 不 同 信息 。 

。-i: 忽略 大 小 写 的 变化 。 

例如 (aa、bb、aa. txt、bb. txt 文件 在 root 家 目录 下 使 用 Vim 提前 建立 好 ): 


[root@serverl ~ ]#diff aa,bt Hb.txt 。 // 比 较 aa.txt 文 件 和 kb.txt 文 件 的 不 同 


5. In 命令 
ln 命令 用 于 建立 两 个 文件 之 间 的 链接 关系 。 该 命令 的 语法 为 : 


ln [参数 ] 源 文件 或 目录 链接 名 


ln 命令 的 常用 参数 -s 用 于 建立 符号 链接 ( 软 链接 ) ,不 加 该 参数 时 建立 的 链接 为 硬 链接 。 

两 个 文件 之 间 的 链接 关系 有 两 种 : 一 种 称 为 硬 链接 ; 另 一 种 称 为 符号 链接 。 

(1) 硬 链 接 。 这 时 两 个 文件 名 指向 的 是 硬盘 上 的 同一 块 存储 空间 ,对 两 个 文件 中 的 任 
何 一 个 文件 的 内 容 进行 修改 都 会 影响 到 另 一 个 文件 。 它 可 以 由 ln 命令 不 加 任何 参数 建立 。 

利用 11 命令 查看 家 目录 下 aa 文件 的 情况 。 


[root@serverl ~ ]#1 aa 

-mrr--r- 1zrootroot0 1 月 3115:06aa 
[root@serverl ~ ]#cat aa 

this is aa 


由 上 面 命令 的 执行 结果 可 以 看 出 aa 文件 的 链接 数 为 1 ,文件 内 容 为 this is aa”。 
使 用 In 命令 建立 aa 文件 的 硬 链接 bb 。 


[root@serverl ~ #Inaaktb 
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述 命令 产生 了 bb 新 文件 , 它 和 aa 文件 建立 起 了 硬 链接 关系 。 


[root@serverl ~ ]# 世 1 aa bb 

-rr-r- 2zrootroot1ll 1 月 315:44aa 

-mr-r- 2zrootroot1ll 1 月 引 15:44bb 

[rooteserverl ~ ]# cat Eb 

this is aa 

可 以 看 出 ,aa 和 bb 的 大 小 和 内 容 均 相 同 。 再 看 详细 信息 的 第 2 列 , 原 来 aa 文件 的 链接 
数 为 1 ,说 明 这 块 硬盘 空间 只 有 aa 文件 指向 ;而 建立 起 aa 和 bb 的 硬 链接 关系 后 ,这 块 硬盘 
空间 就 有 aa 和 bb 两 个 文件 同时 指向 它 ,所 以 aa 和 bb 的 链接 数 都 变 为 2。 

此 时 ,如 果 修 改 aa 或 bb 任意 一 个 文件 的 内 容 , 另 外 一 个 文件 的 内 容 也 将 随 之 变化 。 如 
果 删 除 其 中 一 个 文件 (不 管 是 哪 一 个 ) ,就 是 删除 了 该 文件 和 硬盘 空间 的 指向 关系 ， pe 
间 不 会 释放 ,另外 一 个 文件 的 内 容 也 不 会 发 生 改变 ,但 是 该 文件 的 链接 数 会 减少 一 


下 
六 只 能 对 文件 建立 硬 链 接 , 不 能 对 目录 建立 硬 链 接 。 
说 明 


(2) 符号 链接 。 这 种 链接 也 称 为 软 链接 ,是 指 一 个 文件 指向 另外 一 个 文件 的 文件 名 。 
符号 链接 类 似 于 Windows 系统 中 的 快捷 方式 。 符 号 链接 由 ln -s 命令 建立 。 
首先 查看 一 下 aa 文件 的 信息 。 


[root@serverl ~ ]# 1 aa 
-rr--r- 1rootroot1ll 1 月 31 15:44 aa 


创建 aa 文件 的 符号 链接 cc, 创 建 完成 后 查看 aa 和 cc 文件 的 链接 数 的 变化 。 


[root@serverl ~ J#In-saacc 
[root@serverl ~ ]#l1l aa cc 

-zwrr--r- 1zrootrootll 1 月 31 15:44 aa 
lrwrwarwx 1 root root 2 1 月 3116:02 cc-> aa 


可 以 看 出 cc 文件 是 指向 aa 文件 的 一 个 符号 链接 。 而 指向 存储 aa 文件 内 容 的 那 块 硬盘 
空间 的 文件 仍然 只 有 aa 一 个 文件 ,cc 文件 只 不 过 是 指向 了 aa 文件 名 而 已 ,所 以 aa 文件 的 链 
接 数 仍 为 1 。 

在 利用 cat 命令 查看 cc 文件 的 内 容 时 ,发 现 cc 文件 是 一 个 符号 链接 文件 ,就 根据 cc 文 
件 记录 的 文件 名 找到 aa 文件 ,然后 将 aa 文件 的 内 容 显示 出 来 。 

此 时 如 果 删 除了 cc 文件 ,对 aa 文件 无 任何 影响 ;但 如 果 删 除了 aa 文件 ,那么 cc 文件 就 
因 无 法 找到 aa 文件 而 毫 无 用 处 。 


本 
?可 以 对 文件 或 目 革 建立 符号 链接 。 
说 明 
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6. 使 用 gzip 和 gunzip 命令 
gzip 命令 用 于 对 文件 进行 压缩 ,生成 的 压缩 文件 以 “. gz” 结 尾 ;而 gunzip 命令 是 对 以 


“. gz” 结 尾 的 文件 进行 解压 缩 。 这 两 个 命令 的 语法 为 ; 


gzip -Vv 文件 名 


gunzip -Vv 文 件 名 


其 中 ,-v 参数 选项 表示 显示 被 压缩 文件 的 压缩 比 或 解压 时 的 信息 。 
例如 (在 root 家 目录 下 ) : 


[root@serverl ~ ]#0d 

[root@serverl ~ ]#gzip ~-v initial- setip- ks.cfg 

initial- setup_ ks.cfg: 53. 和 4 -- replaced with initial- setup ks.cfg.gz 
[root@serverl ~ ]#gmzip -v initial- setup- ks.cfg.gz 

initial- setup_ ks.cfg.gz: 53.48 -- replaced with initial- setup ks.cfg 


7. 使 用 tar 命令 
tar 是 用 于 文件 打包 的 命令 行 工 具 ,tar 命令 可 以 把 一 系列 的 文件 归档 到 一 个 大 文件 中 ， 


也 可 以 把 档案 文件 解 开 以 恢复 数据 。 总 的 来 说 ,tar 命令 主要 用 于 打包 和 解 包 。tar 命令 是 
Linux 系统 中 常用 的 备份 工具 之 一 。 该 命令 的 语法 为 : 


tar [参数 ] 档案 文件 文件 列表 


tar 命令 的 常用 参数 选项 如 下 。 
。 -c: 生成 档案 文件 。 
。-v: 列 出 归档 、 解 档 的 详细 过 程 。 
。 -f: 指定 档案 文件 名 称 。 
。 -r: 将 文件 追加 到 档案 文件 末尾 。 
。 -2z: 以 gzip 格式 压缩 或 解压 缩 文 件 。 
Jjj: 以 bzip2 格式 压缩 或 解压 缩 文件 。 
。 -d: 比较 档案 与 当前 目录 中 的 文件 。 
。 -x: 解 开 档案 文件 。 
例如 (提前 用 touch 命令 在 “/” 目 录 下 建立 测试 文件 ): 


[root@serverl ~ ]#tar -cvf yy.tar aa tt  // 将 当前 目录 下 的 aa 和 比 文件 归档 为 yy.tar 
[root@serverl ~ ]# tar ~ xvf yy.tar // 从 yy-tar 档 案 文件 中 恢复 数据 

// 将 当前 目录 下 的 aa 和 tt 文件 归档 并 压缩 为 yy.tar.gz 

[root@serverl ~ J#tar - czvf yy.tar.gz aatt 

[root@serverl ~ ]#tar -xzvf yy.tar.gz // 将 yy-tar.qz 文 件 解 压缩 并 恢复 数据 
[root@serverl ~ ]# tar - czvf etc.tar.gz /etc // 把 /etc 目 录 进行 打包 压缩 
[rooteserverl ~ ]#mkdir /root/etc 

// 将 打包 后 的 压缩 包 文件 指定 解压 到 /root/etc 

[root@ serverl ~ ]# tar xzvf etc.tar.gz -C /root/etc 


第 2 章 使 用 常用 的 Linux 命令 国 


8. 使 用 rpm 命令 

rpm 命令 主要 用 于 对 RPM 软件 包 进 行 管理 。RPM 软件 包 是 Linux 的 各 种 发 行 版 本 中 
应 用 最 为 广泛 的 软件 包 格 式 之 一 。 学 会 使 用 rpm 命令 对 RPM 软件 包 进 行 管理 至 关 重 要 。 
该 命令 的 语法 为 : 


zm [参数 ] 软件 包 名 


rpm 命令 的 常用 参数 选项 如 下 。 

。 -qa: 查询 系统 中 安装 的 所 有 软件 包 。 

。-q: 查询 指定 的 软件 包 在 系统 中 是 否 安装 。 

-qi: 查询 系统 中 已 安装 软件 包 的 描述 信息 。 

-ql: 查询 系统 中 已 安装 软件 包 里 所 包含 的 文件 列表 。 

-qf: 查询 系统 中 指定 文件 所 属 的 软件 包 。 

-qp: 查询 RPM 软件 包 文件 中 的 信息 ,通常 用 于 在 未 安装 软件 包 之 前 了 解 软件 包 中 
的 信息 。 

-i: 用 于 安装 指定 的 RPM 软件 包 。 

-v: 显示 较 详 细 的 信息 。 

-h: 以 “#" 显 示 进 度 。 

-e: 删除 已 安装 的 RPM 软件 包 。 

-U: 升级 指定 的 RPM 软件 包 。 软 件 包 的 版 本 必须 比 当前 系统 中 安装 的 软件 包 的 版 
本 高 才能 正确 升级 。 如 果 当 前 系统 中 并 未 安装 指定 的 软件 包 , 则 直接 安装 。 

。-F: 更 新 软件 包 。 

例如 : 


[root@ serverl ~ ]#1En ~ qalmore // 显 示 系 统 安装 的 所 有 软件 包 列 表 

[root@ serverl ~ ]# pn ~- q selinm- policy // 查 询 系统 是 否 安装 了 selinme Policy 

[root@serverl ~ ]# YEm- 坦 selina Policy  ”// 查 询 系 统 已 安装 的 软件 包 的 描述 信息 

[root@serverl ~ ] 提 3m -dl selinm-policy  ”// 查 询 系 统 已 安装 的 软件 包 里 所 包含 的 文件 列表 
[rocteserverl ~ ]# Em -of /etc/passwd // 查 询 Fasswd 文 件 所 属 的 软件 包 

[root@serverl ~ ]#0d /iso/Eacegee 

// 下 面 安装 软件 包 , 并 以 “# ?显示 安装 进度 和 安装 的 详细 信息 

[root@ serverl] Packages]# rpm - ivh httpd- 2.4.6- 80.el7.centos.x86_64.zFm 

[root@ serverl Packages]# mm - Uh httpd- 2.4.6- 80.el7.cenbce.x86_64.zm // 升 级 软件 包 
[roct@ serverl Fedeges]# mn ~e httpd- 2.4.6- 80.el7.centos.x86 64 // 和 抒 载 httpd 软 件 包 


国 邵 载 软件 包 时 不 加 扩展 名 . rpm。 如 果 使 用 命令 rpm -e httpd-2. 4. 6-80. el7. 
centos. x86_64-nodeps, 则 表示 不 检查 依赖 性 。 


9. 使 用 whereis 命令 
whereis 命令 用 来 寻找 命令 的 可 执行 文件 所 在 的 位 置 。 该 命令 的 语法 为 : 


> 工本 < 
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Whereis [参数 ] 命令 名 称 


whereis 命令 的 常用 参数 选项 如 下 。 

。 -b: 只 查找 二 进 制 文件 。 

。-m: 只 查找 命令 的 联机 帮助 手册 部 分 。 
。 -s: 只 查找 源 代码 文件 。 

例如 : 


// 查 找 命令 zm 的 位 置 
[root@ serverl ~ ]#whereis rpm 
IEm: /bin/mm /etc/rpm /usr/lib/ram /usr/include/rpm /usr/share/rman/ranB/rpm.8.gz 


10. 使 用 whatis 命令 
whatis 命令 用 于 获取 命令 简介 。 它 从 某 个 程序 的 使 用 手册 中 抽出 一 行 简单 的 介绍 性 文 
件 , 帮 助 用 户 迅 速 了 解 这 个 程序 的 具体 功能 。 该 命令 的 语法 为 : 


whatis 命令 名 称 

例如 : 

[root@serverl ~ ]#whatis 1s 

1s (D -list directory contents 


11. 使 用 find 命令 
find 命令 用 于 文件 查找 。 它 的 功能 非常 强大 。 该 命令 的 语法 为 : 


find ”[ 咯 径 ] [匹配 表达 式 ] 


find 命令 的 匹配 表达 式 主 要 有 以 下 几 种 类 型 。 

。 -name filename: 查找 指定 名 称 的 文件 。 

。 -user username: 查找 属于 指定 用 户 的 文件 。 

-group grpname: 查找 属于 指定 组 的 文件 。 

-print: 显示 查找 结果 。 

-size n: 查找 大 小 为 n 块 的 文件 ,一 块 为 512B。 符 号 “十 n” 表 示 查 找 大 小 大 于 n 块 的 
文件 ;符号 “一 n” 表 示 查 找 大 小 小 于 nn 块 的 文件 ;符号 “nc”" 表 示 查 找 大 小 为 个 字符 
的 文件 。 

-inum n: 查找 索引 节点 号 为 n 的 文件 。 

-type: 查找 指定 类 型 的 文件 。 文 件 类 型 有 : b( 块 设备 文件 ) .c( 字 符 设备 文件 ) 、d( 目 
录 )、p( 管 道 文件 ) .1( 符 号 链接 文件 ) .f( 普 通 文件 )。 

-atime n: 查找 nn 天 前 被 访问 过 的 文件 。“ 十 n” 表 示 超 过 n 天 前 被 访问 的 文件 ;* 一 n” 
表示 未 超过 ”天 前 被 访问 的 文件 。 

。 -mtime n: 类 似 于 atime, 但 检查 的 是 文件 内 容 被 修改 的 时 间 。 
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。 -ctime n: 类 似 于 atime, 但 检查 的 是 文件 索引 节点 被 改变 的 时 间 。 

。 -perm mode: 查找 与 给 定 权 限 匹 配 的 文件 ,必须 以 八进制 的 形式 给 出 访问 权限 。 
。 -newer file: 查找 比 指定 文件 新 的 文件 , 即 最 后 修改 时 间 离 现 在 较 近 。 

。 -exec command {}\;: 对 匹配 指定 条 件 的 文件 执行 command 命令 。 

。 -ok command {}\;: 与 exec 相同 ,但 执行 command 命令 时 请 求 用 户 确认 。 
例如 : 


// 在 当前 目录 下 查找 普通 文件 ,并 以 长 格 形式 显示 

[root@serverl ~]#find .-type f -emec 13 -1 {} VY 

// 在 /1cgs 目录 中 查找 修改 时 间 为 5 天 以 前 的 普通 文件 并 删除 。 应 保证 /logs 目录 存在 
[root@serverl ~ ]# find /logs -tpe f -中 im5 -ec m { \; 

/在 /etc/ 目 录 下 查找 文件 名 以 “ .conP" 结 尾 的 文件 

[root@serverl ~]#find /etc 一 neme "# .Confm 

// 在 当前 目录 下 查找 权限 为 755 的 普通 文件 并 显示 

[root@serverl ~]#find .-type f -pem755 -exec ls{} \; 


由 于 find 命令 在 执行 过 程 中 将 消耗 大 量 资源 ,建议 以 后 台 方式 运行 。 


这 
础 


12. locate 

locate 命令 是 Linux 系统 中 用 来 查找 文件 的 命令 。 就 像 在 Windows 中 的 搜索 一 样 , 如 
果 你 忘 了 存储 文件 的 位 置 或 它 的 名 字 ,可 以 用 它 来 解决 。 

例如 ,如 果 你 有 一 个 关于 区 块 链 用 例 的 文档 ,但 是 你 忘 了 标题 ,可 以 输入 locate 
-blockchain 或 者 通过 用 星 号 (* ) 分 隔 单词 来 查找 blockchain use cases。 例 如 : 


locate -i # blockchain # Use # cases 关 


13. 使 用 grep 命令 
grep 命令 用 于 查找 文件 中 包含 指定 字符 串 的 行 。 该 命令 的 语法 为 : 


grep [参数 ] 要 查找 的 字符 串 文件 名 


grep 命令 的 常用 参数 选项 如 下 。 

。 -v: 列 出 不 匹配 的 行 。 

。 -c: 对 匹配 的 行 计数 。 

。 -1: 只 显示 包含 匹配 模式 的 文件 名 。 

。 -h: 抑制 包含 匹配 模式 的 文件 名 的 显示 。 

。 -n: 每 个 匹配 行 只 按照 相对 的 行 号 显示 。 

。 -i: 对 匹配 模式 不 区 分 大 小 写 。 

在 grep 命令 中 ,字符 “表示 行 的 开始 ,字符 “$ ”表示 行 的 结尾 。 如 果 要 查找 的 字符 串 
中 带 有 空格 ,可 以 用 单 引号 或 双 引 号 括 起 来 。 
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例如 : 


// 在 文件 passwd 中 查找 包含 字符 串 root 的 行 ,如 果 找 到 ,显示 该 行 及 该 行 前 后 各 2 行 的 内 容 
[root@serverl ~ ]#grep -2 root /etc/passwd 

// 在 passwd 文 件 中 搜索 只 包含 root 这 4 个 字符 的 行 

[root@serverl ~ ]#grep "root$ " /etc/passwd 


grep 和 find 命令 的 差别 在 于 : grep 是 在 文件 中 搜索 满足 条 件 的 行 ,而 find 
提示 是 在 指定 目录 下 根据 文件 的 相关 信息 查找 满足 指定 条 件 的 文件 。 
14. dd 命令 
dd 命令 用 于 按照 指定 大 小 和 个 数 的 数据 块 来 复制 文件 或 转换 文件 ,该 命令 的 语法 格式 为 : 


da 戎 数 ] 


dd 命令 是 比较 重要 而 且 比 较 有 特色 的 一 个 命令 , 它 能 够 让 用 户 按照 指定 大 小 和 个 数 的 
数据 块 来 复制 文件 的 内 容 。 当 然 如 果 愿 意 , 还 可 以 在 复制 过 程 中 转换 其 中 的 数据 。Linux 
系统 中 有 一 个 名 为 /dev/zero 的 设备 文件 ,这 个 文件 不 会 占用 系统 存储 空间 ,但 却 可 以 提供 
无 穷 无 尽 的 数据 ,因此 可 以 使 用 它 作 为 dd 命令 的 输入 文件 ,来 生成 一 个 指定 大 小 的 文件 。 
dd 命令 的 参数 及 其 作用 如 表 2-1 所 示 。 

表 2-1 dd 命令 的 参数 及 其 作用 


参数 作 用 参数 作 用 
让 输入 的 文件 名 称 bs 设置 每 个 “ 块 " 的 大 小 
of 输出 的 文件 名 称 count 设置 要 复制 “ 块 ”的 个 数 


例如 ,可 以 用 dd 命令 从 /dev/zero 设备 文件 中 取出 2 个 大 小 为 560MB 的 数据 块 ,然后 
保存 成 名 为 filel 的 文件 。 在 理解 了 这 个 命令 后 ,以 后 就 能 随意 创建 任意 大 小 的 文件 了 (做 
配额 测试 时 很 有 用 ) 。 


[root@serverl ~ ]# dd if=/dev/zero of=filel comt=2 bs=56M 
记录 了 2+0 的 读 人 

记录 了 2+0 的 写 出 

1174405120 字 节 (L.2GB) 已 复制 ,1.12128s,1.0GB/s 


dd 命令 的 功能 也 绝 不 仅 限 于 复制 文件 这 么 简单 。 如 果 你 想 把 光驱 设备 中 的 光盘 制作 
成 iso 格式 的 镜像 文件 ,在 Windows 系统 中 需要 借助 于 第 三 方 软件 才能 做 到 ,但 在 Linux 系 
统 中 可 以 直接 使 用 dd 命令 来 压制 出 光盘 镜像 文件 ,将 它 变 成 一 个 可 立即 使 用 的 iso 镜像 。 


[root@serverl ~ ]#dd if= /dev/odram of= REEL~ server- 7.0- x86_64.iso 
7311360+ 0 records in 

7311360+ 0 records out 

3743416320 bytes (3.7GB) oopied, 370.758s, 10.1MB/s 
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2.3 熟练 使 用 系统 信息 类 命令 


系统 信息 类 命令 是 对 系统 的 各 种 信息 进行 显示 和 设置 的 命令 。 

1. 使 用 dmesg 命令 

dmesg 命令 用 实例 名 和 物理 名 称 来 标识 连 到 系统 上 的 设备 。dmesg 命令 也 显示 系统 诊 
断 信息 ,操作 系统 版 本 号 、 物 理 内 存 大 小 以 及 其 他 信息 。 例 如 : 


[root@serverl ~ ]# dmesg|more 


应 系统 启动 时 ,屏幕 上 会 显示 系统 CPU 内存、 网 卡 等 硬件 信息 。 但 通常 显示 
提 示 得 比较 快 ,如 果 用 户 没 有 来 得 及 看 清 , 可 以 在 系统 启动 后 用 dmesg 命令 查看 。 


2. 使 用 free 命令 
free 命令 主要 用 来 查看 系统 内 存 、 虚 拟 内 存 的 大 小 及 占用 情况 ,例如 : 


[root@serverl ~ ]# free 

total used free shared buff/cache available 
Mm: 1865284 894144 107128 14076 864012 714160 
Swap: 4194300 0 4194300 


3. 使 用 date 命令 
date 命令 可 以 用 来 查看 系统 当前 的 日 期 和 时 间 ,例如 : 


[root@serverl ~ ]#date 
2016 年 1 月 2 日 星期 五 15:13:26 CST 


date 命令 还 可 以 用 来 设置 当前 的 日 期 和 时 间 , 例 如 : 


[root@serverl ~ ]# date -d 08/08/2018 
2018 年 08 月 08 日 星期 一 00:00:00 CST 


国 只 有 root 用 户 才 可 以 改变 系统 的 日 期 和 时 间 。 


4. 使 用 cal 命令 

cal 命令 用 于 显示 指定 月 份 或 年 份 的 日 历 ,可 以 带 两 个 参数 ,其 中 年 ,月 份 用 数字 表示 ; 
只 有 一 个 参数 时 表示 年 份 ,年 份 的 范围 为 1 一 9999; 不 带 任何 参数 的 cal 命令 显示 当前 月 份 
的 日 历 。 例 如 : 
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5. 使 用 clock 命令 
clock 命令 用 于 从 计算 机 的 硬件 获得 日 期 和 时 间 。 例 如 : 


2.4 熟练 使 用 进程 管理 类 命令 


进程 管理 类 命令 是 对 进程 进行 各 种 显示 和 设置 的 命令 。 


1. 使 用 ps 命令 
ps 命令 主要 用 于 查看 系统 的 进程 。 该 命令 的 语法 为 : 


ps 命令 的 常用 参数 选项 如 下 。 

。-a: 显示 当前 控制 终端 的 进程 (包含 其 他 用 户 的 ) 。 
，-u: 显示 进程 的 用 户 名 和 启动 时 间 等 信息 。 

。 -w: 宽 行 输出 ,不 截取 输出 中 的 命令 行 。 

"” -1: 按 长 格 形式 显示 输出 。 

。 -x: 显示 没有 控制 终端 的 进程 。 

-e: 显示 所 有 的 进程 。 

。-tn: 显示 第 个 终端 的 进程 。 

例如 ， 


2. pidof 命令 
pidof 命令 用 于 查询 某 个 指定 服务 进程 的 PID 值 ,语法 格式 为 : 


每 个 进程 的 进程 ID 号 (PID) 是 唯一 的 ,因此 可 以 通过 PID 来 区 分 不 同 的 进程 。 例 如 ， 
可 以 使 用 以 下 命令 来 查询 本 机 上 sshd 服务 程序 的 PID。 


3. 使 用 kill 命令 
前 台 进程 在 运行 时 ,可 以 用 Ctrl 十 C 组 合 键 来 终止 它 ,但 后 台 进程 无 法 使 用 这 种 方法 终 
止 ,此 时 可 以 使 用 kill 命令 向 进程 发 送 强制 终止 信号 ,以 达到 目的 。 例 如 : 


上 述 命令 用 于 显示 kill 命令 所 能 够 发 送 的 信号 种 类 。 每 个 信号 都 有 一 个 数值 对 应 , 例 
如 SIGKILL 信号 的 值 为 9。 
kill 命令 的 语法 格式 为 : 


参数 选项 -s 一 般 跟 信号 的 类 型 。 
例如 : 
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4. 使 用 killall 命令 
killall 命令 用 于 终止 某 个 指定 名 称 的 服务 所 对 应 的 全 部 进程 ,该 命令 的 语法 格式 为 : 


killall [人 参数 ] [进程 名 称 ] 


通常 来 讲 , 复 杂 软 件 的 服务 程序 会 有 多 个 进程 协同 为 用 户 提供 服务 ,如果 逐个 去 结束 这 
些 进程 会 比较 麻烦 ,此 时 可 以 使 用 killall 命令 来 批量 结束 某 个 服务 程序 带 有 的 全 部 进程 。 
下 面 以 httpd 服务 程序 为 例 来 结束 其 全 部 进程 。 由 于 RHEL 7 系统 默认 没有 安装 httpd 服 
务 程序 ,因此 大 家 此 时 只 须 看 操作 过 程 和 输出 结果 即 可 ,等 学 习 了 相关 内 容 之 后 再 来 实践 。 


[root@RHEL7- 1 ~ ]#pidof httpd 

13581 13580 13579 13578 13577 13576 
[root@RHEL7- 1 ~ ]#Killall - 9httpd 
[root@RHEL7- 1 ~ ]# pidof httpd 
[root@RHEL7- 1 ~ ]# 


如 果 在 系统 终端 中 执行 一 个 命令 后 想 立 即 停止 它 , 可 以 按 下 Ctrl 十 C 组 合 键 

(生产 环境 中 比较 常用 的 一 个 快捷 键 ), 这 样 将 立即 终止 该 命令 的 进程 。 或 者 ,如 

注 意 ” 果 有 些 命令 在 执行 时 不 断 地 在 屏幕 上 输出 信息 ,影响 到 后 续 命 令 的 输入 , 则 可 以 
在 执行 命令 时 在 末尾 添加 上 一 个 & 符号 ,这 样 命令 将 进入 系统 后 台 来 执行 。 


5. 使 用 nice 命令 

Linux 系统 有 两 个 和 进程 有 关 的 优先 级 。 用 “ps -1” 命 令 可 以 看 到 两 个 域 : PRI 和 NI。 
PRI 是 进程 实际 的 优先 级 , 它 是 由 操作 系统 动态 计算 的 ,这 个 优先 级 的 计算 和 NI 值 有 关 。 
NI 值 可 以 被 用 户 更 改 ,NI 值 越 高 ,优先 级 越 低 。 一 般 用 户 只 能 加 大 NI 值 ,只 有 超级 用 户 才 
可 以 减 小 NI 值 。NI 值 被 改变 后 ,会 影响 PRI。 优 先 级 高 的 进程 被 优先 运行 ,默认 时 进程 的 
NI 值 为 0。nice 命令 的 用 法 如 下 : 


nice -n 程序 名 // 以 指定 的 优先 级 运行 程序 


其 中 ,n 表示 NI 值 , 正 值 代表 NI 值 增加 , 负 值 代 表 NI 值 减 小 。 
例如 : 


[root@serverl ~ ]#nice --2ps -1 


6. 使 用 renice 命令 
renice 命令 是 根据 进程 的 进程 号 来 改变 进程 的 优先 级 的 ,该 命令 的 用 法 如 下 : 


renice n 进程 号 


其 中 ,为 修改 后 的 NI 值 。 
例如 : 
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[root@serverl ~ ]#ps -1 

Fs UD PD FDCFRN AR S52 WH TY TIE oD 
0s 0 324 3 0 8 0 - 27115 wit pts/0 00:00:00 bash 
4R 0 46 324 0 8 0 - 202 - pts/0 00:00:00 ps 
[root@serverl ~ ]# renice - 6 3324 


7. 使 用 top 命令 


和 ps 命令 不 同 ,top 命令 可 以 实时 监控 进程 的 状况 。top 屏幕 自动 每 5s 刷新 一 


以 用 “top -d 20”, 使 得 top 屏幕 每 20s 刷新 一 次 。top 屏幕 的 部 分 内 容 如 下 : 


top - 19:47:03 up 10:50, 3 users, load average: 0.10, 0.07, 0.02 

Tasks: 90 total,1 running, 89 sleeping,0 stopped,0 zarbie 

Opus): 1.0% us, 3.1% sy, 0.0% ni, 95.8% id, 0.0% wa, 0.0% hi, 1.0% si 
Mem: 126212k total, 124520k used, 1692k free, 10116k buffers 
Swap:257032k total, 25796k used, 231236k free, 34312k cached 


PID USER FR VIFT SHR S %CFU %MM TIME+ OMAND 

2946 roct 14 -1 39812 lm 3504 S 1.3 9.8 14:25.46 X 

3067 roct 25 10 39744 1l4m 9172 Ss 1.0 11.8 10:58.34 rhn- applet- gui 
2449 roct 16 0 6156 3328 1460 S 0.3 3.6 0:20.26 hald 

3086 roct 15 0 23412 7576 S03 6.0 0:18.88 mixer applet2 
1446 root 16 0 8728 2508 2064 S 0.3 2.0 0:10.04 sshd 

2455 root 16 0 2908 948 756 R 0.3 0.8 0:00.06 top 

5 root 16 0 2004 560 480 S 0.0 0.4 0:02.01 init 


top 命令 前 5 行 的 含义 如 下 。 


次 ,也 可 


第 1 行 : 正常 运行 时 间 行 。 显 示 系 统 当 前 时 间 、 系 统 已 经 正常 运行 的 时 间 、 系 统 当 前 用 


户 数 等 。 
第 2 行 : 进程 统计 数 。 显 示 当 前 的 进程 总 数 、 睡 眠 的 进程 数 、 正 在 运行 的 
的 进程 数 \ 伟 死 的 进程 数 。 


进程 数 、 暂 停 


第 3 行 : CPU 统计 行 。 包 括 用 户 进程 、 系 统 进程 ,修改 过 NI 值 的 进程 空闲 进程 各 自 使 


用 CPU 的 百分比 。 


第 4 行 : 内 存 统计 行 。 包括 内 存 总 量 、 已 用 内 存 、 空 闲 内 存 、 共 享 内 存 、 缓 冲 区 的 内 存 


第 5 行 : 交换 分 区 和 缓冲 分 区 统计 行 。 包 括 交 换 分 区 总 量 \ 已 使 用 的 交换 分 区 
换 分 区 、 高 速 缓冲 区 总 量 。 
在 top 屏幕 下 ,用 q 键 可 以 退出 ,用 h 键 可 以 显示 top 下 的 帮助 信息 。 
8. 使 用 bg ,jobs ,fg 命令 
bg 命令 用 于 把 进程 放 到 后 台 运 行 , 例 如 : 


[root@serverl ~ ]#bg find 


jobs 命令 用 于 查看 在 后 台 运 行 的 进程 ,例如 : 


fg 命令 用 于 把 从 后 台 运 行 的 进程 调 到 前 台 ,例如 : 


9. at 

如 果 要 在 特定 时 间 运 行 Linux 命令 ,可 以 将 at 添加 到 语句 中 。 语 法 是 at 后 面 跟着 希望 命令 
运行 的 日 期 和 时 间 , 然 后 命令 提示 符 变 为 at 二 ,这 样 就 可 以 输入 在 上 面 指定 的 时 间 运 行 的 命令 。 

例如 : 


这 将 会 在 周 六 下 午 4:08 运行 echo hello 程序 。 


2.5 熟练 使 用 其 他 常用 命令 


除了 上 面 介绍 的 命令 外 ,还 有 一 些 命令 也 经 常会 用 到 。 


1. 使 用 clear 命令 
clear 命令 用 于 清除 字符 终端 屏幕 的 内 容 。 


2. 使 用 uname 命令 
uname 命令 用 于 显示 系统 信息 。 例 如 : 


3. 使 用 man 命令 
man 命令 用 于 列 出 命令 的 帮助 手册 。 例 如 : 


典型 的 man 命令 包含 以 下 几 部 分 。 

。 NAME: 命令 的 名 字 。 

。 SYNOPSIS: 名 字 的 概要 ,简单 说 明 命令 的 使 用 方法 。 

。 DESCRIPTION: 详细 描述 命令 的 使 用 ,如 各 种 参数 选项 的 作用 。 
。 SEE ALSO: 列 出 可 能 要 查看 的 其 他 相关 的 手册 页 条 目 。 
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。 AUTHOR、COPYRIGHT: 作者 和 版 权 等 信息 。 

4. 使 用 shutdown 命令 

shutdown 命令 用 于 在 指定 时 间 关 闭 系统 ,该 命令 的 语法 为 : 
shutdom [参数 ] 时 间 某 告 信息 ] 

shutdown 命令 常用 的 参数 选项 如 下 。 

。 -r: 系统 关闭 后 重新 启动 。 

。 -h: 关闭 系统 。 

“时 间 ? 可 以 是 以 下 几 种 形式 。 

。 now: 表示 当前 时 间 。 

。 hh:mm: 指定 绝对 时 间 。 其 中 ,hh 表示 小 时 ,mm 表示 分 钟 。 
。 十 m: 表示 m 分 钟 以 后 。 

例如 : 


[root@serverl ~ ]# shutdowmn 一 h now // 关 闭 系统 


5. 使 用 halt 命令 
halt 命令 表示 立即 停止 系统 ,但 该 命令 不 自动 关闭 电源 ,需要 人 工 关 闭 电源 。 


6. 使 用 reboot 命令 
reboot 命令 用 于 重新 启动 系统 ,相当 于 “shutdown -r now”。 


7. 使 用 poweroff 命令 
poweroff 命令 用 于 立即 停止 系统 ,并 关闭 电源 ,相当 于 “shutdown -h now”。 


8. alias 命令 
alias 命令 用 于 创建 命令 的 别名 。 该 命令 的 语法 为 : 


alias 命令 别名 = " 喻 令 行 " 
例如 : 


[root@serverl ~ ]#alias httpd= "vim /etc/httpd/oonf/httpd.conf™ 
// 定 义 httpd 为 命令 "im /etc/httpd/conf/httpd.conF" 的 别名 


alias 命令 不 带 任何 参数 时 ,将 列 出 系统 已 定义 的 别名 。 


9. 使 用 unalias 命令 
unalias 命令 用 于 取消 别名 的 定义 。 例 如 : 


[root@ serverl ~ ]#unalias httpd 


10. 使 用 history 命令 
history 命令 用 于 显示 用 户 最 近 执 行 的 命令 。 可 以 保留 的 历史 命令 数 和 环境 变量 
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HISTSIZE 有 关 。 只 要 在 编号 前 加 “!”, 就 可 以 重新 运行 history 中 显示 出 的 命令 行 。 例 如 : 


[root@serverl ~ ]# !1239 
表示 重新 运行 第 1239 个 历史 命令 。 


11. 使 用 wget 命令 
wget 命令 用 于 在 终端 中 下 载 网 络 文件 ,该 命令 的 语法 格式 为 : 


wet [参数 ] 下 载 地 址 


表 2-2 所 示 为 wget 命令 的 参数 以 及 参数 的 作用 。 
表 2-2 wget 命令 的 参数 以 及 参数 的 作用 


参数 作 用 参数 作 用 

-b 后 台 下 载 模式 -c | 断 点 续 传 

-了 下 载 到 指定 目录 -p | 下 载 页 面 内 所 有 资源 ,包括 图 片 .视频 等 
-t 最 大 尝试 次 数 - | 递归 下 载 


尝试 使 用 wget 命令 下 载 testfile. zip 文件 ,假如 这 个 文件 的 完整 路 径 为 http://www. 
smile. net/testfile. zip, 则 执行 该 命令 (注意 ,该 网 站 仅 是 示例 网 站 ,不 能 真正 访问 ) 。 
[root@ serverl ~ ]#wget http://www.smile.net/testfile.zip 


接 下 来 ,使 用 wget 命令 递归 下 载 http://www. smile. net/ 网 站 内 的 所 有 页 面 数 据 以 及 
文件 ,下 载 完 后 会 自动 保存 到 当前 路 径 下 一 个 名 为 http://www. smile. net/ 的 目录 中 。 执 
行 该 操作 的 命令 为 wget -r -p http://www. smile. net/。 


[root@serverl ~ ]#wget —r -Pp http://www.smile.net/ 

12. 使 用 who 命令 

who 命令 用 于 查看 当前 登入 主机 的 用 户 终端 信息 ,该 命令 的 语法 格式 为 : 
who [参数 ] 


这 三 个 简单 的 字母 可 以 快速 显示 出 所 有 正在 登录 本 机 的 用 户 的 名 称 以 及 他 们 正在 开启 
的 终端 信息 。 表 2-3 所 示 为 执行 who 命令 后 的 结果 。 
表 2-3 执行 who 命令 的 结果 


登录 的 用 户 名 终端 设备 登录 到 系统 的 时 间 
root :0 2018-05-02 23:57 (:0) 
root pts/0 2018-05-03 17:34 (:0) 
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13. 使 用 last 命令 
last 命令 用 于 查看 所 有 系统 的 登录 记录 ,该 命令 的 语法 格式 为 : 


last [参数 ] 


使 用 last 命令 可 以 查看 本 机 的 登录 记录 。 但 是 ,由 于 这 些 信 息 都 是 以 日 志文 件 的 形式 
保存 在 系统 中 ,因此 黑客 可 以 很 容易 地 对 内 容 进行 自 改 。 千 万 不 要 单纯 以 该 命令 的 输出 信 
息 而 判断 系统 是 否 已 被 恶意 人 侵 。 


[root@ serverl~ ]# last 

root pts/0 :0 ThuMay 317:34 still logged in 
root pts/0 :0 Thu May 317:29 -17:31 (00:01) 
root pts/l :0 Thu May 300:29 still logged in 
root Fts/0 :0 Thu May 300:24-17:27 (17:02) 
root pts/0 :0 Thu May 3 00:03 -00:03 (00:00) 
root pts/0 :0 WdMay 2 23:58 -23:59 (00:00) 
root :0 :0 WedMay 2 23:57 still logged in 
reboot systemboot 3.10.0- 693.ell.x WedMay 223:54 -19:30 (19:36) 


14. 使 用 sosreport 命令 
sosreport 命令 用 于 收集 系统 配置 及 架构 信息 并 输出 诊断 文档 ,该 命令 的 语法 格式 为 : 


Sosreport 


当 Linux 系统 出 现 故障 需要 联系 技术 支持 人 员 时 ,大 多 数 时 候 都 要 先 使 用 这 个 命令 来 
简单 收集 系统 的 运行 状态 和 服务 配置 信息 ,以 便于 让 技术 支持 人 员 能 够 远程 解决 一 些小 问 
题 ,抑或 让 他 们 能 提前 了 解 某 些 复杂 问题 。 在 下 面 的 输出 信息 中 ,包括 了 收集 好 的 资料 压缩 
文件 以 及 校 验 码 ,将 其 发 送 给 技术 支持 人 员 即 可 。 


[root@ serverl ~ ]# sosreport 

sosreport (version 3.4) 
/ar/trp/sos.TnpS X and may be provided to a Red Hat support 

representative. 

the published support policies at: 

https://access.redhat .com/support/ 

The generated archive may contain data onsidered sensitive and its 

content should be reviewed by the originating organization before being 
Passed to any third party. 

No changes will be made to system configuraticn。 

Press FNIER to continue, or CTRL- C to quit. 此 处 按 Enter 键 来 确认 收集 信息 
Please enter your first initial and last nare [zhel7- 1]: 此 处 按 Enter 键 来 确认 主机 编号 
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15. 使 用 echo 命令 
echo 命令 用 于 在 终端 输出 字符 串 或 变量 提取 后 的 值 ,该 命令 的 语法 格式 为 : 


例如 ,把 指定 字符 串 long. com 输出 到 终端 屏幕 的 命令 为 : 


该 命令 会 在 终端 屏幕 上 显示 以 下 信息 。 


下 面 使 用 $ 变 量 的 方式 提取 变量 SHELL 的 值 , 并 将 其 输出 到 屏幕 上 。 


16. 使 用 uptime 命令 
uptime 用 于 查看 系统 的 负载 信息 ,该 命令 的 语法 格式 为 ; 


uptime 命令 很 有 用 , 它 可 以 显示 当前 系统 时 间 、 系 统 已 运行 时 间 、 启 用 终端 数量 以 及 平 
均 负 载 值 等 信息 。 平 均 负载 值 指 的 是 系统 在 最 近 lmin、5min、15min 内 的 压力 情况 (下 面 加 
粗 的 信息 部 分 ) ;负载 值 越 低 越 好 ,尽量 不 要 长 期 超过 1, 在 生产 环境 中 不 要 超过 5。 


2.6 练习 题 


一 、 填空 题 
1. 在 Linux 系统 中 命令 大 小 写 。 在 命令 行 中 ,可 以 使 用 键 来 自动 补 
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齐 命令 。 


2. 如 果 要 在 一 个 命令 行 上 输入 和 执行 多 条 命令 ,可 以 使 用 来 分 隔 命 令 。 
3. 断 开 一 个 长 命令 行 ,可 以 使 用 :以 将 一 个 较 长 的 命令 分 成 多 行 表达 ,增强 命 


令 的 可 读 性 。 执 行 后 ,Shell 自动 显示 提示 符 ,表示 正在 输入 一 个 长 命令 。 


4. 要 使 程序 以 后 台 方式 执行 ,只 须 在 要 执行 的 命令 后 跟 上 一 个 符号 。 


二 、 选 择 题 

本 ) 命 令 能 用 来 查找 在 文件 TESTFILE 中 包含 4 个 字符 的 行 。 
A. grep ????' TESTFILE 

B. grep '... ' TESTFILE 

C. grep “?7??7$' TESTEFILE 

D. giep .$$"TESTRLE 

( ) 命 令 用 来 显示 /home 及 其 子 目录 下 的 文件 名 。 

A 


. ls -a /home B. ls -R /home C. ls -1 /home D. ls -d /home 


3. 如 果 忘 记 了 1s 命令 的 用 法 ,可 以 采用 ( ) 命 令 获 得 帮助 。 


A. ?ls B. help ls C. man ls D. get ls 
4. 查看 系统 当中 所 有 进程 的 命令 是 ( js 
A. ps all B. ps aix C. ps auf D. ps aux 


5. Linux 中 有 多 个 查看 文件 的 命令 ,如 果 希 望 用 光标 可 以 上 下 移动 来 查看 文件 内 容 , 则 


符合 要 求 的 命令 是 ( js 


A. cat B. more C. less D. head 
6 ) 命 令 可 以 了 解 在 当前 目录 下 还 有 多 大 空间 。 
A. df B. du/ C. du . D. di ， 
7. 假如 需要 找 出 /etc/my. conf 文件 属于 哪个 包 (package) ,可 以 执行 ) 命 令 。 
A. rpm -q /etc/my. conf B. rpm -requires /etc/my. conf 
C. rpm -qf /etc/my. conf D. rpm -q | grep /etc/my. conf 
8. 在 应 用 程序 启动 时 ,( ) 命 令 设置 进程 的 优先 级 。 
A. priority B. nice C. top D. setpri 
9.( ) 命 令 可 以 把 fl. txt 复制 为 f2. txt。 
A,. ép fl. txt | f2. txt Be eat tltxt | f2: txt 
CC. cat fl,txt > {2, txt D. copy {1. txt | f2. txt 
10. 使 用 ( “) 命 令 可 以 查看 Linux 的 启动 信息 。 
A. mesg -d B. dmesg 
C. cat /etc/mesg D. cat /var/mesg 


三 、 简 答题 

1. more 和 less 命令 有 何 区 别 ? 

2. Linux 系统 下 对 磁盘 的 命名 原则 是 什么 ? 

3. 在 网 上 下 载 一 个 Linux 下 的 应 用 软件 ,其 用 途 和 基本 使 用 方法 有 哪些 ? 
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2.7 项 目 实录 : 使 用 Linux 基本 命令 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 实 训 目的 及 内 容 
(1) 掌握 Linux 各 类 命令 的 使 用 方法 。 
(2) 熟悉 Linux 操作 环境 。 


3. 项 目 背景 

现在 有 一 台 已 经 安装 好 Linux 操作 系统 的 主机 ,并 且 已 经 配置 好 基本 的 TCP/IP 参数 ， 
能 够 通过 网 络 连 接 局 域 网 中 或 远程 的 主机 。 一 台 Linux 服务 器 ,能 够 提供 FTP、Telnet 和 
SSH 连接 。 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效果 。 


2.8 实 训 : Linux 常用 命令 


1. 实 训 目的 及 内 容 
(1) 掌握 Linux 各 类 命令 的 使 用 方法 。 
(2) 熟悉 Linux 操作 环境 。 


2. 实 训 环境 

(1) 一 台 已 经 安装 好 Linux 操作 系统 的 主机 ,并 且 已 经 配置 好 基本 的 TCP/IP 参数 ,能 
够 通过 网 络 连接 局 域 网 或 远程 的 主机 。 

(2) 一 台 Linux 服务 器 ,能 够 提供 FTP、Telnet 和 SSH 连接 。 


3. 实 训练 习 

(1) 文件 和 目录 类 命令 

。 启动 计算 机 ,利用 root 用 户 登 录 到 系统 ,进入 字符 提示 界面 。 
用 pwd 命令 查看 当前 所 在 的 目录 。 

。 用 1s 命令 列 出 此 目录 下 的 文件 和 目录 。 

。 用 -a 选项 列 出 此 目录 下 包括 隐藏 文件 在 内 的 所 有 文件 和 目录 。 
。 用 man 命令 查看 1s 命令 的 使 用 手册 。 

。 在 当前 目录 下 创建 测试 目录 test。 

。 利用 ls 命令 列 出 文件 和 目录 ,确认 test 目录 创建 成 功 。 

。 进入 test 目录 ,利用 pwd 命令 查看 当前 工作 目录 。 

。 利用 touch 命令 在 当前 目录 创建 一 个 新 的 空 文件 newfile。 

。 利用 cp 命令 复制 系统 文件 /etc/profile 到 当前 目录 下 。 

。 复制 文件 profile 到 一 个 新 文件 profile. bak 作为 备份 。 
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用 11 命令 以 长 格式 列 出 当前 目录 下 的 所 有 文件 ,注意 比较 每 个 文件 的 长 度 和 创建 时 
间 的 不 同 。 

用 less 命令 分 屏 查看 文件 profile 的 内 容 , 注 意 练习 less 命令 的 各 个 子 命令 ,例如 b、 
p、q 等 并 对 then 关键 字 进 行 查找 。 

用 grep 命令 在 profile 文件 中 对 关键 字 then 进行 查询 ,并 与 上 面 的 结果 比较 。 

给 文件 profile 创建 一 个 符号 链接 lnsprofile 和 一 个 硬 链接 Inhprofile。 

以 长 格式 显示 文件 profile ,lnsprofile 和 lnhprofile 的 详细 信息 。 注 意 比 较 3 个 文件 
链接 数 的 不 同 。 

删除 文件 profile, 用 长 格式 显示 文件 Insprofile 和 lnhprofile 的 详细 信息 ,比较 文件 
lnhprofile 的 链接 数 的 变化 。 

用 less 命令 查看 文件 Insprofile 的 内 容 , 看 看 有 什么 结果 。 

。 用 less 命令 查看 文件 Inhprofile 的 内 容 , 看 看 有 什么 结果 。 

。 删除 文件 Insprofile, 显 示 当 前 目录 下 的 文件 列表 , 回 到 上 层 目 录 。 

。 用 tar 命令 把 目录 test 打包 。 

。 用 gzip 命令 把 打 好 的 包 进 行 压缩 。 

。 把 文件 test. tar. gz 改名 为 backup. tar. gz。 

。 显示 当前 目录 下 的 文件 和 目录 列表 ,确认 重 命 名 成 功 。 

。 把 文件 backup. tar. gz 移动 到 test 目录 下 。 

。 显示 当前 目录 下 的 文件 和 目录 列表 ,确认 移动 成 功 。 

。 进入 test 目录 ,显示 目录 中 的 文件 列表 。 

。 把 文件 test. tar. gz 解 包 。 

。 显示 当前 目录 下 的 文件 和 目录 列表 ,复制 test 目录 为 testbak 目录 作为 备份 。 

。 查找 root 用 户 自己 的 主 目录 下 的 所 有 名 为 newfile 的 文件 。 

。 删除 test 子 目 录 下 的 所 有 文件 。 

利用 rmdir 命令 删除 空子 目录 test。 

回 到 上 层 目 录 ,利用 rm 命令 删除 目录 test 和 其 下 所 有 文件 。 

(2) 系统 信息 类 命令 

。 利用 date 命令 显示 系统 当前 时 间 ,并 修改 系统 的 当前 时 间 。 

。 显示 当前 登录 到 系统 的 用 户 状态 。 

。 利用 free 命令 显示 内 存 的 使 用 情况 。 

。 利用 df 命令 显示 系统 的 硬盘 分 区 及 使 用 状况 。 

。 显示 当前 目录 下 的 各 级 子 目 录 的 硬盘 占用 情况 。 

(3) 进程 管理 类 命令 

。 使 用 ps 命令 查看 和 控制 进程 。 

名 显示 本 用 户 的 进程 。 

名 显示 所 有 用 户 的 进程 。 

2 在 后 台 运 行 cat 命令 。 

总 查看 进程 cat。 

名 杀 死 进程 cat。 
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名 再 次 查看 进程 cat, 看 其 是 否 已 被 杀 死 。 
。 使 用 top 命令 查看 和 控制 进程 。 
名 用 top 命令 动态 显示 当前 的 进程 。 
名 只 显示 用 户 user01 的 进程 (利用 u 键 ) 。 
志 利 用 kk 键 杀 死 指定 进程 号 的 进程 。 
。 挂 起 和 恢复 进程 。 
名 执行 命令 cat。 
名 按 Ctrl 十 Z 组 合 键 挂 起 进程 cat。 
名 输入 jobs 命令 ,查看 作业 。 
名 输入 bg, 把 cat 切换 到 后 台 执行 。 
名 输入 fg, 把 cat 切换 到 前 台 执 行 。 
名 按 Ctrl 十 C 组 合 键 结束 进程 cat。 
find 命令 的 使 用 。 
名 在 /var/lib 目录 下 查找 其 所 有 者 是 games 用 户 的 所 有 文件 。 
名 在 /var 目录 下 查找 其 所 有 者 是 root 用 户 的 所 有 文件 。 
避 查找 其 所 有 者 不 是 root、bin 和 student 用 户 的 所 有 文件 并 用 长 格式 显示 。 
名 查找 /usr/bin 目录 下 所 有 大 小 超过 1000000B 的 文件 并 用 长 格式 显示 。 
名 查找 /tmp 目录 下 属于 student 的 所 有 普通 文件 ,这 些 文件 的 修改 时 间 为 120min 
以 前 ,查询 结果 用 长 格式 显示 。 
名 对 于 查 到 的 上 述 文件 用 -ok 选项 删除 。 
(4) rpm 软件 包 的 管理 
查询 系统 是 否 安装 了 软件 包 squid。 
如 果 没 有 安装 , 则 挂 载 Linux 安装 光盘 ,安装 squid 软件 包 。 
务 载 刚刚 安装 的 软件 包 。 
软件 包 的 升级 。 
。 软件 包 的 更 新 。 
(5) tar 命令 的 使 用 
系统 上 的 主 硬盘 在 使 用 的 时 候 有 可 怕 的 噪声 ,但 是 它 上 面 存 在 有 价值 的 数据 。 该 系统 
在 两 年 半 以 前 备份 过 ,现在 决定 手动 备份 少数 几 个 最 紧要 的 文件 。/tmp 目录 可 以 存储 不 同 
磁盘 分 区 的 数据 ,可 以 将 文件 临时 备份 到 这 个 目录 。 
。 在 /home 目录 里 ,用 find 命令 定位 文件 所 有 者 是 student 的 文件 ,然后 将 其 压缩 。 
。 保存 /etc 目录 下 的 文件 到 /tmp 目录 下 。 
。 列 出 两 个 文件 的 大 小 。 
。 使 用 gzip 压缩 文档 。 


4. 实 训 报告 
按 要 求 完成 实 训 报告 。 
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5 包间 
Shell 与 Vm 编 辑 器 


Shell 是 允许 用 户 输 入 命令 的 界面 , Linux 中 最 常用 的 交互 式 Shell 是 
bash。 本 章 主要 介绍 Shell 的 功能 和 Vim 编辑 器 的 使 用 。 


。 了 解 Shell 的 强大 功能 和 Shell 的 命令 解释 过 程 。 
。 学 会 使 用 重 定 向 和 管道 。 

。 掌握 正则 表达 式 的 使 用 方法 。 

。 学 会 使 用 Vim 编辑 器 。 


3.1 Shell 


Shell 是 用 户 与 操作 系统 内 核 之 间 的 接口 ,起 着 协调 用 户 与 系统 的 一 致 性 和 在 用 户 与 系 
统 之 间 进 行 交互 的 作用 。 
3.1.1 Shell 概述 


1. Shell 的 地 位 
Shell 在 Linux 系统 中 具有 极其 重要 的 地 位 ,Linux 系统 结构 组 成 如 图 3-1 所 示 。 


2. Shell 的 功能 

Shell 最 重要 的 功能 是 命令 解释 ,从 这 种 意义 上 来 说 ,Shell 是 一 个 命令 解释 器 。Linux 
系统 中 的 所 有 可 执行 文件 都 可 以 作为 Shell 命令 来 执行 。 将 可 执行 文件 进行 一 下 分 类 ,如 
表 3-1 所 示 。 


表 3-1 可 执行 文件 的 分 类 


类 别 说 明 
Linux 命令 存放 在 /bin、/sbin 目录 下 

内 置 命令 出 于 效率 的 考虑 ,将 一 些 常 用 命令 的 解释 程序 构造 在 Shell 内 部 
实用 程序 存放 在 /usr/bin、/usr/sbin、/usr/local/bin 等 目录 下 
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续 表 
类 别 说 明 
用 户 程 序 用 户 程 序 经 过 编译 生成 可 执行 文件 后 ,也 可 作为 Shell 命令 运行 
Shell 脚本 由 Shell 语言 编写 的 批 处 理 文件 


当 用 户 提 交 了 一 个 命令 后 ,Shell 首先 判断 它 是 否 为 内 置 命令 ,如 果 是 内 置 命令 ,就 通过 
Shell 内 部 的 解释 器 将 其 解释 为 系统 功能 调用 并 转交 给 内 核 执行 ;若是 外 部 命令 或 实用 程 
序 ,就 试图 在 硬盘 中 查找 该 命令 并 将 其 调和 内存, 再 将 其 解释 为 系统 功能 调用 并 转交 给 内 核 


3-1 Linux 系 统 结构 组 成 


执行 。 在 查找 该 命令 时 分 为 两 种 情况 。 


(1) 用 户 给 出 了 命令 路 径 ,Shell 就 沿 着 用 户 给 出 的 路 径 查 找 , 若 找到 则 调 入 内存 ;: 若 没 


找到 则 输出 提示 信息 。 


(2) 用 户 没有 给 出 命令 的 路 径 ,Shell 就 在 环境 变量 PATH 所 指定 的 路 径 中 依次 进行 查 


找 , 若 找到 则 调和 内存; 若 没 找到 则 输出 提示 信息 。 
图 3-2 描述 了 Shell 执行 命令 解释 的 过 程 。 
此 外 ,Shell 还 具有 以 下 一 些 功能 。 


。 Shell 环境 变量 。 
。 正则 表达 式 。 


。 输入 /输出 重 定向 与 管道 。 


3. Shell 的 主要 版 本 


表 3-2 列 出 了 几 种 常见 的 Shell 版 本 。 


| 
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用 户 输入 命令 


提交 给 Shell 


是 否 为 内 置 命令 ? 


是 外 部 命令 或 实用 程序 


, 在 系统 中 查找 该 命令 
是 内 置 命令 的 文件 并 调和 内存 执行 


内 核 中 的 系统 功能 调用 


图 3-2 ”Shell 执行 命令 解释 的 过 程 


表 3-2 Shell 的 不 同 版 本 
版 本 说 明 
bash 是 大 多 数 Linux 系统 的 默认 Shell。bash 与 bsh 完全 向 后 兼容 ,并 且 在 bsh 
的 基础 上 增加 和 增强 了 很 多 特性 。bash 也 包含 了 很 多 C Shell 和 Korn Shell 中 的 
优点 。bash 有 很 灵活 和 强大 的 编程 接口 ,同时 又 有 很 友好 的 用 户 界 面 
Korn Shell(ksh) 由 Dave Korn 所 写 。 它 是 UNIX 系统 上 的 标准 Shell。 另 外 ,在 
Korn Shell(ksh) Linux 环境 下 有 一 个 专门 为 Linux 系统 编写 的 Korn Shell 的 扩展 版 本 , 即 Public 
Domain. Korn Shell(pdksh) 


tcsh 是 C. Shell 的 扩展 。tcsh 与 csh 完全 向 后 兼容 ,但 它 包含 了 更 多 的 使 用 户 感 
觉 方 便 的 新 特性 ,其 最 大 的 提高 是 在 命令 行 编辑 和 历史 浏览 方面 


Bourne Again Shell 
(bash. bsh 的 扩展 ) 


tcsh(csh 的 扩展 ) 


3.1.2 Shell 环境 变量 

Shell 支持 具有 字符 串 值 的 变量 。Shell 变量 不 需要 专门 的 说 明 语句 ， 回 
通过 赋值 语句 完成 变量 说 明 并 予以 赋值 。 在 命令 行 或 Shell 脚本 文件 中 使 品 
用 $ name 的 形式 引用 变量 name 的 值 。 


1. 变量 的 定义 和 引用 
在 Shell 中 ,变量 的 赋值 格式 如 下 : 


Dame= string 


其 中 ,name 是 变量 名 , 它 的 值 就 是 string 六 一? 是 赋值 符号 。 变 量 名 是 以 字母 或 下 画 线 
开头 的 字母 ,数字 和 下 夯 线 字符 序列 。 

通过 在 变量 名 (name) 前 加 $ 字符 (如 $name) 引 用 变量 的 值 ,引用 的 结果 就 是 用 字符 串 
string 代替 $ name。 此 过 程 也 称 为 变量 蔡 换 。 

在 定义 变量 时 , 若 string 中 包含 空格 \ 制 表 符 和 换行 符 , 则 string 必须 用 'string'( 或 者 
"string") 的 形式 , 即 用 单 ( 双 ) 引 号 将 其 括 起 来 。 双 引号 内 允许 变量 蔡 换 ,而 单 引号 内 则 不 可 以 。 


ea 
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下 面 给 出 一 个 定义 和 使 用 Shell 变量 的 例子 。 


为 了 解决 这 个 问题 ,可 以 使 用 下 面 的 两 种 方法 。 


2. Shell 变量 的 作用 域 

与 程序 设计 语言 中 的 变量 一 样 ,Shell 变量 有 其 规定 的 作用 范围 。Shell 变量 分 为 局 部 
变量 和 全 局 变量 。 

(1) 局 部 变量 的 作用 范围 仅仅 限制 在 其 命令 行 所 在 的 Shell 或 Shell 脚本 文件 中 。 

(2) 全 局 变量 的 作用 范围 则 包括 本 Shell 进程 及 其 所 有 子 进程 。 

(3) 可 以 使 用 export 内 置 命令 将 局 部 变量 设置 为 全 局 变量 。 

下 面 给 出 一 个 Shell 变量 作用 域 的 例子 。 


3. 环境 变量 

环境 变量 是 指 由 Shell 定义 和 赋 初 值 的 Shell 变量 。Shell 用 环境 变量 来 确定 查找 路 径 、 
注册 目录 ,终端 类 型 .终端 名 称 、 用 户 名 等 。 所 有 环境 变量 都 是 全 局 变量 ,并 可 以 由 用 户 重新 
设置 。 表 3-3 列 出 了 Shell 中 常用 的 环境 变量 。 


表 3-3 Shell 中 的 环境 变量 


环境 变量 名 说 明 
EDITOR FCEDIT bash fc 命令 的 默认 编辑 器 
HISTFILE 用 于 存储 历史 命令 的 文件 
HISTSIZE 历史 命令 列表 的 大 小 
HOME 当前 用 户 的 用 户 目录 
OLDPWD 前 一 个 工作 目录 
PATH bash 寻找 可 执行 文件 的 搜索 路 径 
PS1 命令 行 的 一 级 提示 符 
PS2 命令 行 的 二 级 提示 符 
PWD 当前 工作 目录 
SECONDS 当前 Shell 开始 后 所 经 过 的 秒 数 


不 同类 型 的 Shell 的 环境 变量 有 不 同 的 设置 方法 。 在 bash 中 ,设置 环境 变量 用 set 命 
令 , 命 令 的 格式 是 : 


例如 ,设置 用 户 的 主 目录 为 /home/john, 可 以 用 以 下 命令 。 


> 人 [入 ] < 


不 加 任何 参数 地 直接 使 用 set 命令 ,可 以 显示 出 用 户 当 前 所 有 环境 变量 的 设置 ,如 下 
示 。 


她 


可 以 看 到 其 中 路 径 PATH 的 设置 为 : 


PATH 中 总 共有 7 个 目录 ,bash 会 在 这 些 目录 中 依次 搜索 用 户 输入 命令 的 可 执行 
文件 。 
在 环境 变量 前 面 加 上 $ 符号 ,表示 引用 环境 变量 的 值 , 例 如 : 


将 把 目录 切换 到 用 户 的 主 目录 。 
当 修改 PATH 变量 时 ,如 将 一 个 路 径 /tmp 加 到 PATH 变量 前 ,应 设置 为 : 


此 时 ,在 保存 原 有 PATH 路 径 的 基础 上 进行 了 添加 。Shell 在 执行 命令 前 ,会 先 查找 这 
个 目录 。 

要 将 环境 变量 重新 设置 为 系统 默认 值 ,可 以 使 用 unset 命令 。 例 如 ,下 面 的 命令 用 于 将 
当前 的 语言 环境 重新 设置 为 默认 的 英文 状态 。 


4. 工作 环境 设置 文件 

Shell 环境 依赖 于 多 个 文件 的 设置 。 用 户 并 不 需要 每 次 登录 后 都 对 各 种 环境 变量 进行 
手工 设置 ,通过 环境 设置 文件 ,用 户 工 作 环境 的 设置 可 以 在 登录 的 时 候 自 动 由 系统 来 完成 。 
环境 设置 文件 有 两 种 : 一 种 是 系统 环境 设置 文件 ; 另 一 种 是 个 人 环境 设置 文件 。 

(1) 系统 中 的 用 户 工作 环境 设置 文件 

@ 登录 环境 设置 文件 : /etc/profile。 

@ 非 登 录 环境 设置 文件 : /etc/bashrc。 
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(2) 用 户 设置 的 环境 设置 文件 
@ 登录 环境 设置 文件 : $ HOME/. bash_profile。 
@ 非 登 录 环境 设置 文件 : $ HOME/. bashrc。 


| 只 有 在 特定 的 情况 下 才 读 取 profile 文件 ,确切 地 说 是 在 用 户 登 录 的 时 候 。 
汪 。 当 运行 Shell 脚本 以 后 ,就 无 须 再 读 profile。 
六 忌 

系统 中 的 用 户 环境 文件 设置 对 所 有 用 户 均 生效 ,而 用 户 设置 的 环境 设置 文件 对 用 户 自 
身 生效 。 用 户 可 以 修改 自己 的 用 户 环境 设置 文件 来 覆盖 在 系统 环境 设置 文件 中 的 全 局 设 
置 。 例 如 : 

@ 用 户 可 以 将 自 定义 的 环境 变量 存放 在 $ HOME/. bash_profile 中 。 

@ 用 户 可 以 将 自 定义 的 别名 存放 在 $ HOME/. bashre 中 ,以 便于 在 每 次 登录 和 调用 子 
Shell 时 生效 。 


3.1.3 正则 表达 式 


1，grep 命令 

在 第 2 章 已 介绍 过 grep 命令 的 用 法 。grep 命令 用 来 在 文本 文件 中 查找 内 容 , 它 的 名 字 
源 于 “global regular expression print”。 指 定 给 grep 的 文本 模式 叫 作 “正则 表达 式 ”。 它 可 
以 是 普通 的 字母 或 者 数字 ,也 可 以 使 用 特殊 字符 来 匹配 不 同 的 文本 模式 。 稍 后 将 更 详细 地 
讨论 正则 表达 式 。grep 命令 打印 出 所 有 符合 指定 规则 的 文本 行 。 例 如 : 


$ grep match string'file 


即 从 指定 文件 中 找到 含有 字符 串 的 行 。 


2. 正则 表达 式 字符 

Linux 定义 了 一 个 使 用 正则 表达 式 的 模式 识别 机 制 。Linux 系统 库 包 含 了 对 正则 表达 
式 的 支持 ,鼓励 程序 中 使 用 这 个 机 制 。 

遗憾 的 是 Shell 的 特殊 字符 辨认 系统 没有 利用 正则 表达 式 , 因 为 它们 比 Shell 自己 的 缩 
写 更 加 难 用 。Shell 的 特殊 字符 和 正则 表达 式 是 很 相似 的 ,为 了 正确 利用 正则 表达 式 , 用 户 
必须 了 解 两 者 之 间 的 区 别 。 


国 由 于 正则 表达 式 使 用 了 一 些 特殊 字符 ,所 以 所 有 的 正则 表达 式 都 必须 用 单 
引号 括 起 来 。 
» 忆 

正则 表达 式 字符 可 以 包含 某 些 特殊 的 模式 匹配 字符 。 句 点 匹配 任意 一 个 字符 ,相当 于 
Shell 的 问号 (?)。 紧 接 句 号 之 后 的 星 号 匹配 零 个 或 多 个 任意 字符 ,相当 于 Shell 的 星 号 
( * )。 方 括号 的 用 法 跟 Shell 的 一 样 ,只 是 用 *^” 代 蔡 了 “1”, 表 示 匹 配 不 在 指定 列表 内 的 
字符 。 

表 3-4 列 出 了 正则 表达 式 的 模式 匹配 字符 。 
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表 3-4 正则 表达 式 的 模式 匹配 字符 


模式 匹配 字符 说 明 
y 匹配 单个 任意 字符 
[list] 匹配 字符 串 列表 中 的 其 中 一 个 字符 
[range] 匹配 指定 范围 中 的 一 个 字符 
3 匹配 指定 字符 串 或 指定 范围 中 以 外 的 一 个 字符 


表 3-5 列 出 了 与 正则 表达 式 模式 匹配 字符 配合 使 用 的 量词 。 
表 3-5 与 正则 表达 式 模式 匹配 字符 配合 使 用 的 量词 


量 词 说 明 量 词 说 明 
关 匹配 前 一 个 字符 零 次 或 多 次 \{n\} 匹配 前 一 个 字符 至 少 n 次 
NAN} 匹配 前 一 个 字符 nn 次 \{nm\} 匹配 前 一 个 字符 n~~m 次 


表 3-6 列 出 了 正则 表达 式 中 可 用 的 控制 字符 。 
表 3-6 正则 表达 式 中 可 用 的 控制 字符 


控制 字符 说 明 控制 字符 说 明 
是 只 在 行头 匹配 正则 表达 式 \ 引用 特殊 字符 
$ 只 在 行 末 匹 配 正则 表达 式 


控制 字符 是 用 来 标记 行头 或 者 行 尾 的 ,支持 统计 字符 串 的 出 现 次 数 。 
非特 殊 字符 代表 它们 自己 。 如 果 要 表示 特殊 字符 ,需要 在 前 面 加 上 反 斜 杠 。 


例如 : 

help // 匹 配 包含 help 的 行 

NS /匹配 倒数 第 2 个 字符 是 句点 的 行 

S$ // 匹 配 只 有 3 个 字符 的 行 

~^[0- 9]\{3\}["0- 9] // 匹 配 以 3 个 数字 开头 ,跟着 是 一 个 非 数字 字符 的 行 
和 \(B-2]A-2\)*$ // 匹 配 只 包含 偶数 个 大 写字 母 的 行 


3.1.4 输入 /输出 重 定向 与 管道 


1. 重 定向 

所 谓 重 定向 ,就 是 不 使 用 系统 的 标准 输入 端口 .标准 输出 端口 或 标准 错误 端口 ,而 重新 
进行 指定 ,所 以 重 定向 分 为 输入 重 定向 、 输 出 重 定 向 和 错误 重 定 向 。 通 常情 况 下 重 定向 到 一 
个 文件 。 在 Shell 中 ,要 实现 重 定向 ,主要 依靠 重 定向 符 实现 , 即 Shell 是 检查 命令 行 中 有 无 
和 定向 符 来 决定 是 否 需 要 实施 重 定向 。 表 3-7 列 出 了 常用 的 重 定向 符 。 

需要 注意 的 是 ,在 实际 执行 命令 之 前 ,命令 解释 程序 会 自动 打开 (如 果 文 件 不 存在 , 则 自 
动 创建 ) 且 清空 该 文件 (文件 中 已 存在 的 数据 将 被 删除 )。 当 命令 完成 时 ,命令 解释 程序 会 正 
确 地 关闭 该 文件 ,而 命令 在 执行 时 并 不 知道 它 的 输出 流 已 被 重 定向 。 


这 


en 
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表 3-7 重 定向 符 
重 定向 符 说 明 
实现 输入 重 定向 。 输 入 重 定向 并 不 经 常 使 用 ,因为 大 多 数 命令 都 以 参数 的 形式 在 命令 
过 行 上 指定 输入 文件 的 文件 名 。 尽 管 如 此 , 当 使 用 一 个 不 接受 文件 名 为 输入 多 数 的 命 


令 ,而 需要 的 输入 又 是 在 一 个 已 存在 的 文件 中 时 ,就 能 用 输入 重 定 向 解决 问题 


实现 输出 重 定向 。 输 出 重 定向 比 输入 重 定向 更 常用 。 输 出 重 定向 使 用 户 能 把 一 个 命 
令 的 输出 重 定向 到 一 个 文件 中 ,而 不 是 显示 在 屏幕 上 。 在 很 多 情况 下 都 可 以 使 用 这 种 
功能 。 例 如 ,如 果 某 个 命令 的 输出 很 多 ,在 屏幕 上 不 能 完全 显示 , 即 可 以 把 它 重 定向 到 
一 个 文件 中 , 稍 后 再 用 文本 编辑 器 来 打开 这 个 文件 


2 二 > 或 2 二 二 实现 错误 重 定向 
&> 同时 实现 输出 重 定向 和 错误 重 定向 


二 或 二 > 


下 面 举 几 个 使 用 重 定向 的 例子 。 
(1) 将 1s 命令 生成 的 /tmp 目录 的 一 个 清单 存放 到 当前 目录 中 的 dir 文件 中 。 


$1s-1 /bm >dir 


(2) 将 1s 命令 生成 的 /tmp 目录 的 一 个 清单 以 追加 的 方式 存放 到 当前 目录 中 的 dir 文 
件 中 。 


$15 -1 /bm >>dir 
(3) 将 passwd 文件 的 内 容 作为 we 命令 的 输入 。 

$ wox /etc/passwd 

(4) 将 命令 myprogram 的 错误 信息 保存 在 当前 目录 下 的 err_file 文件 中 。 

$ myprogram Derr file 

(5) 将 命令 myprogram 的 输出 信息 和 错误 信息 保存 在 当前 目录 下 的 output_file 文件 中 。 
$ myprogram &> output:. file 

(6) 将 命令 ls 的 错误 信息 保存 在 当前 目录 下 的 err_file 文件 中 。 


$1s-12err file 


国 该 命令 并 没有 产生 错误 信息 ,但 err_file 文件 中 的 原文 件 内 容 会 被 清空 。 


当 输入 重 定向 符 时 ,命令 解释 程序 会 检查 目标 文件 是 否 存在 。 如 果 文 件 不 存在 ,命令 解 
释 程序 将 会 根据 给 定 的 文件 名 创建 一 个 空 文件 ;如 果 文 件 已 经 存在 ,命令 解释 程序 则 会 清除 


2> 工 去 T< 
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其 内 容 并 准备 写 人 命令 的 输出 结果 。 这 种 操作 方式 表明 : 当 重 定向 到 一 个 已 存在 的 文件 时 
需要 十 分 小 心 ,数据 很 容易 在 用 户 还 没有 意识 到 之 前 就 丢失 了 。 
bash 输入 /输出 重 定 向 可 以 通过 使 用 下 面 的 选项 设置 为 不 覆盖 已 存在 的 文件 。 


$ set - o noclchber 


这 个 选项 仅 用 于 对 当前 命令 解释 程序 输入 /输出 进行 重 定 向 ,而 其 他 程序 仍 可 能 覆盖 已 
存在 的 文件 。 
(7) /dev/null。 空 设备 的 一 个 典型 用 法 是 丢弃 从 find 或 grep 等 命令 送 来 的 错误 信息 。 


$ grep delegate /etc/* 2> /dev/null 


上 面 的 grep 命令 的 含义 是 从 /etc 目录 下 的 所 有 文件 中 搜索 包含 字符 串 delegate 的 所 
有 行 。 由 于 是 在 普通 用 户 的 权限 下 执行 该 命令 ,grep 命令 是 无 法 打开 某 些 文件 的 ,系统 会 显 
示 一 大 堆 * 未 得 到 允许 ?的 错误 提示 。 通 过 将 错误 重 定向 到 空 设备 ,可 以 在 屏幕 上 只 得 到 有 
用 的 输出 。 

2. 管道 

许多 Linux 命令 具有 过 滤 特 性 , 即 一 条 命令 通过 标准 输入 端口 接收 一 个 文件 中 的 数据 ， 
命令 执行 后 产生 的 结果 数据 又 通过 标准 输出 端口 送 给 后 一 条 命令 ,作为 该 命令 的 输入 数据 。 
后 一 条 命令 也 是 通过 标准 输入 端口 接收 输入 数据 。 

Shell 提供 管道 命令 *| "将 这 些 命令 前 后 衔接 在 一 起 ,形成 一 个 管道 线 。 语 法 格式 为 ， 


命令 1| 命 令 21 .| 命令 卫 


管道 线 中 的 每 一 条 命令 都 作为 一 个 单独 的 进程 运行 ,每 一 条 命令 的 输出 作为 下 一 条 命 
令 的 输入 。 由 于 管道 线 中 的 命令 总 是 从 左 到 右 顺 序 执行 的 ,因此 管道 线 是 单 向 的 。 

管道 线 的 实现 创建 了 Linux 系统 管道 文件 并 进行 重 定向 。 但 是 管道 不 同 于 1/O 重 定 
向 ,输入 重 定向 导致 一 个 程序 的 标准 输入 来 自 某 个 文件 ,输出 重 定向 是 将 一 个 程序 的 标准 输 
出 写 到 一 个 文件 中 ,而 管道 是 直接 将 一 个 程序 的 标准 输出 与 男 一 个 程序 的 标准 输入 相连 接 ， 
不 需要 经 过 任何 中 间 文 件 。 

例如 ,我 们 运行 命令 who 来 找 出 谁 已 经 登录 进入 系统 。 


$ who > trpfile 


该 命令 的 输出 结果 是 每 个 用 户 对 应 一 行 数据 ,其 中 包含 了 一 些 有 用 的 信息 ,我 们 将 这 些 
信息 保存 在 临时 文件 中 。 
现在 运行 下 面 的 命令 。 


$w -1<tmpfile 


该 命令 会 统计 临时 文件 的 行 数 ,最 后 的 结果 是 登录 系统 中 的 用 户 的 人 数 。 
可 以 将 以 上 两 个 命令 组 合 起 来 : 


和 
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$wholwc -1 


管道 符号 告诉 命令 解释 程序 将 左边 的 命令 (在 本 例 中 为 who) 的 标准 输出 流连 接 到 右边 
的 命令 (在 本 例 中 为 wc -1) 的 标准 输入 流 。 现 在 命令 who 的 输出 不 经 过 临时 文件 就 可 以 直 
接送 到 命令 we 中 。 

下 面 再 举 几 个 使 用 管道 的 例子 。 

(1) 以 长 格式 递归 的 方式 分 屏 显 示 /etc 目录 下 的 文件 和 目录 列表 。 

$1s -了 LU /etc | more 

(2) 分 屏 显示 文本 文件 /etc/passwd 的 内 容 。 

$ cat/etc/passwd | more 

(3) 统计 文本 文件 /etc/passwd 的 行 数 .字数 和 字符 数 。 

$ cat /etc/passwd | we 

(4) 查看 是 否 存 在 john 用 户 账号 。 

$ cat /etc/passwd | grep jchn 

(5) 查看 系统 是 否 安 装 了 apache 软件 包 。 

$m -中 | grep spache 

(6) 显示 文本 文件 中 的 若干 行 。 

$ tail +15myfile | head -3 


管道 仅 能 操纵 命令 的 标准 输出 流 。 如 果 标 准 错误 输出 未 重 定向 ,那么 任何 写 人 其 中 的 
信息 都 会 在 终端 显示 屏幕 上 显示 。 管 道 可 用 来 连接 两 个 以 上 的 命令 。 由 于 使 用 了 一 种 称 为 
过 滤器 的 服务 程序 ,多 级 管道 在 Linux 中 是 很 普遍 的 。 过 滤器 只 是 一 段 程 序 , 它 从 自己 的 标 
准 输入 流 读 入 数据 ,然后 写 到 自己 的 标准 输出 流 中 ,这 样 就 能 沿 着 管道 过 滤 数 据 。 例 如 : 


$ wholgrep ttyp| we -1 


who 命令 的 输出 结果 由 grep 命令 来 处 理 , 而 grep 命令 则 过 滤 掉 (丢弃 掉 ) 所 有 不 包含 字 
符 串 “ttyp” 的 行 。 这 个 输出 结果 经 过 管道 送 到 命令 wc, 而 该 命令 的 功能 是 统计 剩余 的 行 数 ， 
这 些 行 数 与 网 络 用 户 的 人 数 相对 应 。 

Linux 系统 的 一 个 最 大 优势 就 是 按照 这 种 方式 将 一 些 简单 的 命令 连接 起 来 ,形成 更 复 
杂 的 、 功 能 更 强 的 命令 。 那 些 标准 的 服务 程序 仅仅 是 一 些 管道 应 用 的 单元 模块 ,它们 的 作用 
在 管道 中 更 加 明显 。 


pM 
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3.1.5 Shell 脚本 


Shell 是 一 个 功能 强大 的 编程 语言 。 用 户 可 以 在 文件 中 存放 一 系列 的 命令 ,这 被 称 为 
Shell 脚本 或 Shell 程序 ,将 命令 变量 和 流程 控制 有 机 地 结合 起 来 将 会 得 到 一 个 功能 强大 的 
编程 工具 。Shell 脚本 语言 非常 擅长 处 理 文本 类 型 的 数据 ,由 于 Linux 系统 中 的 所 有 配置 文件 
都 是 纯 文 本 的 ,所 以 Shell 脚本 语言 在 管理 Linux 系统 中 发 挥 了 巨大 作用 。 


1. 脚本 的 内 容 

Shell 脚本 是 以 行为 单位 ,在 执行 脚本 的 时 候 会 分 解 成 一 行 一 行 依次 执行 。 脚 本 中 所 包 
含 的 成 分 主要 有 注释 .命令 .Shell 变量 和 流程 控制 语句 。 

* 注释 : 用 于 对 脚本 进行 解释 和 说 明 , 在 注释 行 的 前 面 加 上 符号 "#”, 这 样 在 执行 脚本 
的 时 候 Shell 就 不 会 对 该 行进 行 解释 。 
命令 : 在 Shell 脚本 中 可 以 出 现任 何在 交互 方式 下 能 够 使 用 的 命令 。 
Shell 变量 : Shell 支持 具有 字符 串 值 的 变量 。Shell 变量 不 需要 专门 的 说 明 语句 , 通 
过 赋值 语句 完成 变量 说 明 并 予以 赋值 。 在 命令 行 或 Shell 脚本 文件 中 使 用 $ name 
的 形式 引用 变量 name 的 值 。 
流程 控制 : 主要 为 一 些 用 于 流程 控制 的 内 部 命令 。 
表 3-8 列 出 了 Shell 中 用 于 流程 控制 的 内 置 命令 。 


表 3-8 Shell 中 用 于 流程 控制 的 内 置 命令 


命 令 说 明 
text expr 或 [expr] 用 于 测试 一 个 表达 式 expr 值 的 真 假 
if expr then command-table fi 用 于 实现 单 分 支 结构 
证 全 OIL dlee cominntuableg 用 于 实现 双 分 支 结构 
Case...case 用 于 实现 多 分 支 结 构 
for...do...done 用 于 实现 for 型 循环 
while...do...done 用 于 实现 当 型 循环 
until...do...done 用 于 实现 直到 型 循环 
Break 用 于 跳出 循环 结构 
Continue 用 于 重新 开始 下 一 轮 循环 


2. 脚本 的 建立 与 执行 

用 户 可 以 使 用 任何 文本 编辑 器 编辑 Shell 脚本 文件 ,如 Vim、gedit 等 。 
Shell 对 Shell 脚本 文件 的 调用 可 以 采用 以 下 3 种 方式 。 

(1) 将 文件 名 作为 Shell 命令 的 参数 。 其 调用 格式 为 : 


$bash script file 


当 要 被 执行 的 脚本 文件 没有 可 执行 权限 时 只 能 使 用 这 种 调用 方式 。 
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(2) 先 将 脚本 文件 的 访问 权限 改 为 可 执行 ,以 便于 该 文件 可 以 作为 执行 文件 调用 。 具 
体 方法 是 : 


$ chmod +x script file 
$ PATH= $ PATH:$ FWD 
$ script file 


(3) 当 执 行 一 个 脚本 文件 时 ,Shell 就 产生 一 个 子 Shell( 即 一 个 子 进程 ) 去 执行 文件 中 的 
命令 。 因 此 ,脚本 文件 中 的 变量 值 不 能 传递 到 当前 Shell( 即 父 进程 )。 为 了 使 脚本 文件 中 的 
变量 值 传递 到 当前 Shell ,必须 在 命令 文件 名 前 面 加 *. "命令 。 即 : 


$ /acript file 


“. ”命令 的 功能 是 在 当前 Shell 中 执行 脚本 文件 中 的 命令 ,而 不 是 产生 一 个 子 Shell 执行 
命令 文件 中 的 命令 。 
3. 编写 第 一 个 Shell 脚本 程序 


[root@ serverl ~ ]#mkir scripts; cd scripts 

[root@ serverl scripts]# vim sh01.sh 

# !/bin/bash 

# Program: 

# This program shows "Hello World!" in your screen. 

# History: 

#2012/08/23 ”Bobby First release 

PATH= /bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~ /bin 
export PATH 

echo -e "Hello World! \a \n" 


exit 0 


在 这 个 小 题目 中 ,请 将 所 有 撰写 的 脚本 放置 到 家 目录 的 一 /scripts 这 个 目录 内 ,以 利于 
管理 。 下 面 分 析 一 下 上 面 的 程序 。 

(1) 第 一 行 #1/bin/bash 在 宣告 这 个 脚本 使 用 的 Shell 名 称 。 

因为 使 用 的 是 bash, 所 以 必须 要 以 * 划 ! /bin/bash” 来 宣告 这 个 文件 内 的 语法 使 用 
bash 的 语法 。 那 么 , 当 这 个 程序 被 运行 时 ,就 能 够 加 载 bash 的 相关 环境 配置 文件 (一 般 来 
说 就 是 非 登 录 Shell 的 一 /. bashrc) ,并 且 和 运行 bash 来 使 我 们 下 面 的 命令 能 够 运行 。 在 很 多 
情况 下 ,如 果 没 有 设置 好 这 一 行 , 那 么 该 程序 很 可 能 会 无 法 运行 ,因为 系统 可 能 无 法 判断 该 
程序 需要 使 用 什么 Shell 来 运行 。 

(2) 程序 内 容 的 说 明 。 

在 整个 脚本 中 ,除了 第 一 行 的 “#1” 是 用 来 声明 Shell 的 之 外 ,其 他 的 # 都 是 “注释 ”。 
所 以 上 面 的 程序 当中 ,第 二 行 以 下 就 是 用 来 说 明 整 个 程序 的 基本 数据 。 

建议 : 一 定 要 养 成 说 明 该 脚本 的 内 容 与 功能 、 版 本 信息 、 作 者 与 联络 方式 、 建 立 日 期 \ 历 
史记 录 等 ,这 将 有 助 于 未 来 程序 的 改写 与 调试 。 
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(3) 主要 环境 变量 的 声明 。 

建议 务必 要 将 一 些 重要 的 环境 变量 设置 好 ,PATH 与 LANG( 如 果 使 用 与 输出 相关 的 
信息 时 ) 是 当中 最 重要 的 。 如 此 一 来 , 则 可 让 这 个 程序 在 运行 时 可 以 直接 执行 一 些 外 部 命 
令 ,而 不 必 写 绝对 路 径 。 

(4) 主要 程序 部 分 。 

在 这 个 例子 当中 ,主要 程序 部 分 就 是 echo 那 一 行 。 

(5) 运行 成 果 ( 定 义 回 传 值 ) 。 

一 个 命令 的 运行 成 功 与 否 ,可 以 使 用 $ ?这 个 变量 来 查看 。 也 可 以 利用 exit 这 个 命令 来 
让 程序 中 断 ,并 且 回 传 一 个 数值 给 系统 。 在 这 个 例子 当中 ,使 用 exit 0, 代 表 离 开 脚 本 并 且 回 
传 一 个 0 给 系统 ,所 以 当 运 行 完 这 个 脚本 后 , 若 接 着 执行 echo $? 则 可 得 到 0 的 值 。 利 用 
exit n(n 是 数字 ) 功 能 还 可 以 自 定义 错误 信息 ,让 这 个 程序 变 得 更 加 智能 。 

该 程序 的 运行 结果 如 下 : 


[root@ serverl scripts]# sh sh01.sh 
Hello World ! 


应 该 会 听 到 ”* 咯 ?的 一 声 ,为 什么 呢 ? 这 是 echo 加 上 -e 选项 的 原因 。 
另外 ,也 可 以 利用 “chmod a 十 x sh01. sh; . /sh01. sh” 来 运行 这 个 脚本 。 


3.2 Vim 编辑 器 


Vi 是 Vimsual interface 的 简称 ,Vim 在 Vi 的 基础 上 改进 和 增加 了 很 [Oh 
多 特性 , 它 是 纯粹 的 自由 软件 , 它 可 以 执行 输出 、 删 除 查找、 替换 、 块 操作 汪汪 
等 众多 文本 操作 ,而 且 用 户 可 以 根据 自己 的 需要 对 其 进行 定制 ,这 是 其 他 
编辑 程序 所 不 具备 的 。Vim 不 是 一 个 排版 程序 , 它 不 像 Word 或 WPS 那 
样 可 以 对 字体 .格式 .段落 等 其 他 属性 进行 编排 , 它 只 是 一 个 文本 编辑 程 
序 。Vim 是 全 屏幕 文本 编辑 器 , 它 没有 菜单 ,只 有 命令 。 


3.2.1 Vim 的 启动 与 退出 
在 系统 提示 符 后 输入 Vim 和 想 要 编辑 (或 建立 ) 的 文件 名 便 可 进入 Vim, 如 : 


$ vimmyfile 
$ vim 


如 果 只 输入 Vim, 而 不 带 文件 名 ,也 可 以 进入 Vim, 如 图 3-3 所 示 。 

在 命令 模式 下 输入 *.q”“;ql”“:wq” 或 “; x”( 注 意 %:” 号 ) ,就 会 退出 Vim。 其 中 ,“.;wq” 
和 “:x” 是 存盘 退出 ,而 “:q” 是 直接 退出 。 如 果 文 件 已 有 新 的 变化 ,Vim 会 提示 保存 文件 ， 
“:q” 命 令 也 会 失效 ,这 时 可 以 用 * :w” 命 令 保 存 文件 后 再 用 “:q” 命 令 退 出 ,或 用 *:wq”:x” 命 
令 退 出 。 如 果 不 想 保 存 改变 后 的 文件 ,就 需要 用 “:q!” 命 令 , 这 个 命令 将 不 保存 文件 而 直接 
退出 Vim。 例 如: 


| 
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root@serverl:/iso/Packages | 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 
用 


VIM - Vi IMproved 


版 本 7.4.1099 
维护 人 Bram Moolenaar 等 
修改 者 <bugzillaeredhat. com> 
Vim 是 可 自由 分 发 的 开放 源 代 码 软 件 


成 为 Vim 的 注册 用 户 ! 
输入 :help register<Enter> 查看 说 明 


输入 :q<Enter> 退出 
输入 :help<Enter> 或 < 有 1> 查看 在 线 帮助 
输入 :help version7 <Enter> 查看 版 本 信息 


0,0-1 全 部 


图 3-3 ”Vim 编辑 环境 


By // 保 存 

:w filename /另存 的 文件 为 filename 

:wa! // 保 存 后 退出 

:q! // 不 保存 并 退出 

:x // 保 存 并 退出 ,功能 和 “ :wa!" 相 同 


3.2.2 Vim 的 工作 模式 


Vim 有 3 种 基本 工作 模式 : 编辑 模式 .插入 模式 和 命令 模式 。 考 虑 到 各 种 用 户 的 需要 ， 
采用 状态 切换 的 方法 实现 工作 模式 的 转换 。 切 换 只 是 习惯 性 的 问题 ,一 旦 能 够 熟练 使 用 
Vim ,就 会 觉得 它 其 实 也 很 好 用 。 

进入 Vim 之 后 ,首先 进入 的 是 编辑 模式 。 进 入 编辑 模式 后 Vim 等 待 编辑 命令 输入 而 不 
是 文本 输入 ,也 就 是 说 这 时 输入 的 字母 都 将 作为 编辑 命令 来 解释 。 

进入 编辑 模式 后 光标 停 在 屏幕 第 一 行 首位 ,用 ”表示 ,其 余 各 行 的 行 首 均 有 一 个 “一 ” 
符号 ,表示 该 行为 空 行 。 最 后 一 行 是 状态 行 ,显示 出 当前 正在 编辑 的 文件 名 及 其 状态 。 如 果 
是 “[New File]”, 则 表示 该 文件 是 一 个 新 建 的 文件 ;如 果 输 入 Vim 并 带 文件 名 后 ,文件 已 在 
系统 中 存在 , 则 在 屏幕 上 显示 出 该 文件 的 内 容 , 并 且 光 标 停 在 第 一 行 的 首位 ,在 状态 行 显示 
出 该 文件 的 文件 名 、 行 数 和 字符 数 。 

在 编辑 模式 下 输入 插入 命令 i、 附加 命令 a、 打开 命令 o、 修 改 命令 c、 取 代 命令 r 或 替换 
命令 s 都 可 以 进入 插入 模式 。 在 插入 模式 下 ,用 户 输入 的 任何 字符 都 被 Vim 当 作 文件 内 容 
保存 起 来 ,并 将 其 显示 在 屏幕 上 。 在 文本 输入 过 程 中 (插入 模式 下 ), 若 想 回 到 命令 模式 下 ， 
按 Esc 键 即 可 。 

在 编辑 模式 下 ,用 户 按 “:” 键 即 可 进入 命令 模式 ,此 时 Vim 会 在 显示 窗口 的 最 后 一 行 
(通常 也 是 屏幕 的 最 后 一 行 ) 显 示 一 个 “:” 作 为 命令 模式 的 提示 符 , 等 待 用 户 输入 命令 。 多 数 


2> 工 可 < 
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文件 管理 命令 都 是 在 此 模式 下 执行 的 。 末 行 命令 执行 完 后 ,Vim 自动 回 到 编辑 模式 。 
若 在 命令 模式 下 输入 命令 过 程 中 改变 了 主意 ,可 用 退 格 键 将 输入 的 命令 全 部 删除 之 后 ， 
再 按 一 下 退 格 键 , 即 可 使 Vim 回 到 编辑 模式 。 


3.2.3 Vim 命令 


在 编辑 模式 下 ,输入 表 3-9 所 示 的 命令 均 可 进入 插入 模式 。 


表 3-9 进入 插入 模式 的 命令 


类 型 命令 说 明 
i 从 光标 所 在 位 置 前 开始 插入 文本 
I 将 光标 移 到 当前 行 的 行 首 , 然 后 在 其 前 插入 文本 
人 a 用 于 在 光标 当前 所 在 位 置 之 后 追加 新 文本 


将 光标 移 到 所 在 行 的 行 尾 ,从 那里 开始 插入 新 文本 


在 光标 所 在 行 的 下 面 新 开 一 行 ,并 将 光标 置 于 该 行 行 首 ,等 待 输入 


在 光标 所 在 行 的 上 面 插入 一 行 ,并 将 光标 置 于 该 行 行 首 ,等 待 输入 


表 3-10 列 出 了 常用 的 命令 模式 命令 。 


类 型 命 


令 


表 3-10 常用 的 命令 模式 命令 
说 明 


跳 行 :n 


直接 输入 要 移动 到 的 行 号 即 可 实现 跳 行 


退出 Vim 


退出 :wq 


保存 退出 Vim 


不 保存 退出 Vim 


在 光标 所 在 行 的 下 面 新 开 一 行 ,并 将 光标 置 于 该 行 行 首 ,等 待 输入 


:w file 


在 光标 所 在 行 的 上 面 插入 一 行 , 并 将 光标 置 于 该 行 行 首 , 等 待 输入 


:nl ,n2w file 


将 从 za 开始 到 n2 结束 的 行 写 到 file 文件 中 


:nw file 


将 第 行 写 到 file 文 件 中 


文件 相关 :1,. w file 


将 从 第 1 行 起 到 光标 当前 位 置 的 所 有 内 容 写 到 file 文 件 中 


:.»$ w file 


将 从 光标 当前 位 置 起 到 文件 结尾 的 所 有 内 容 写 到 file 文 件 中 


:r file 


打开 另 二 个 文件 file 


:e file 


新 建 file 文 件 


:f file 


把 当前 文件 改名 为 file 文 件 


:/str/ 


从 当前 光标 开始 往 右 移动 到 有 str 的 地 方 


字符 串 搜索 、 
替换 和 删除 


:7str? 


从 当前 光标 开始 往 左 移动 到 有 str 的 地 方 


:/str/w file 


将 包含 有 str 的 行 写 到 文件 file 中 


ra 
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续 表 
类 型 命 令 说 明 

:/strl/,/str2/w file | 将 从 strl 开始 到 str2 结束 的 内 容 写 人 file 
Fa :s/strl/str2/ 将 第 1 个 strl 替换 为 str2 

:s/strl/str2/g 将 所 有 的 strl 替换 为 str2 

:nl,n2 co n3 将 从 zl 开始 到 n2 为 止 的 所 有 内 容 复 制 到 n3 后 面 

:nl,n2 mn3 将 从 nl 开始 到 n2 为 止 的 所 有 内 容 移动 到 n3 后 面 

:d 删除 当前 行 
eal 1 删除 第 ， 行 

:nl,n2d 删除 从 zl 开始 到 n2 为 止 的 所 有 内 容 

:es$d 删除 从 当前 行 到 结尾 的 所 有 内 容 

:/strl ,/str2/d 删除 从 strl 开始 到 str2 为 止 的 所 有 内 容 

:1Cmd 运行 Shell 命令 Cmd 
执 行 ”Shell 将 nl 到 n2 行 的 内 容 作为 Cmd 命令 的 输入 。 如 果 不 指定 nl 和 
命令 : 虽 , 吕 wl Cmd | ,2, 则 将 整个 文件 的 内 容 作为 命令 Cmd 的 输入 

:r 1! Cmd 将 命令 运行 的 结果 写 入 当前 行 位 置 


这 些 命令 看 似 复杂 ,其 实 使 用 时 非常 简单 。 例 如 ,删除 也 带 有 剪 切 的 意思 , 当 删 除 文字 
时 ,可 以 把 光标 移动 到 某 处 , 按 Shift+P 组 合 键 把 内 容 贴 在 原 处 ;然后 移动 光标 到 某 处 ,再 按 
P 键 或 Shift 十 P 组 合 键 把 内 容 又 贴 上 。 


P // 光 标 之 后 粘贴 
ShiftrkP // 在 光标 之 前 粘贴 


当 进行 查找 和 替换 时 , 按 Esc 键 进入 命令 模式 ,然后 输入 /或 ?就 可 以 进行 查找 。 例 如 : 
在 一 个 文件 中 查找 swap 单词 ,首先 按 Esc 键 ,进入 命令 模式 ,然后 输入 : 


/swap 

或 

?swap 

若 把 光标 所 在 的 行 中 的 所 有 单词 the 替换 成 THE, 则 需 输入 : 
:s /the/THE/g 

仅仅 是 把 第 1 行 到 第 10 行 中 的 the 替换 成 THE. 则 需 输入 : 


:1,10 =s /the/THE/g 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


这 些 编 辑 指令 非常 灵活 ,基本 上 可 以 说 是 由 指令 与 范围 所 构成 。 需 要 注意 的 是 ,此 处 采 
PC 的 键盘 来 说 明 Vim 的 操作 ,但 在 具体 的 环境 中 还 要 参考 相应 的 资料 。 


3.3 练习 题 


一 、 填空 题 
1. 由 于 核心 在 内 存 中 是 受 保护 的 区 块 ,因此 必须 通过 将 输入 的 命令 与 Kernel 


沟通 ,以 便 让 Kernel 可 以 控制 硬件 正确 无 误 地 工作 。 


2. 系统 合法 的 Shell 均 写 在 文件 中 。 

3. 用 户 默认 登录 取得 的 Shell 记录 于 的 最 后 一 个 字段 。 
4. bash 的 功能 主要 有 
5. Shell 变量 有 其 规定 的 作用 范围 ， 可 以 分 为 与 。 
6. 可 以 观察 目前 bash 环境 下 的 所 有 变量 。 
村 
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. 通配符 主要 有 、 等 。 
正则 表示 法 就 是 处 理 字符 串 的 方法 ， 是 以 为 单位 来 进行 字符 串 的 处 理 的 。 
. 正则 表示 法 通过 一 些 特殊 符号 的 辅助 可 以 让 使 用 者 轻易 地 


某 个 或 某 些 特定 的 字符 串 。 


10. 正则 表示 法 与 通配符 是 完全 不 一 样 的 。 代表 的 是 bash 操作 接口 的 一 个 功 


能 ,但 则 是 一 种 字符 串 处 理 的 表示 方式 。 


二 、 简 述 题 

1. Vim 的 3 种 运行 模式 是 什么 ? 如 何 切换 ? 

2. 什么 是 重 定向 ? 什么 是 管道 ? 什么 是 命令 替换 ? 

3. Shell 变量 有 哪 两 种 ?分 别 如 何 定 义 ? 

4. 如 何 设置 用 户 自己 的 工作 环境 ? 

5. 关于 正则 表达 式 的 练习 ,首先 我 们 要 设置 好 环境 ,输入 以 下 命令 。 


这 样 ,/etc 目录 下 的 所 有 文件 的 列表 就 会 保存 在 主 目录 下 的 data 文件 中 。 
再 写 出 可 以 在 data 文件 中 查找 满足 条 件 的 所 有 行 的 正则 表达 式 。 

(1) 以 P 开 头 。 

(2) 以 y 结 尾 。 

(3) 以 m 开头 ,以 qd 结尾 。 

(4) 以 eg 或 1 开头 。 

(5) 包含 o, 它 后 面 跟着 u。 

(6) 包含 o, 隔 一 个 字母 之 后 是 u。 

(7) 以 小 写字 母 开 头 。 
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(8) 包含 一 个 数字 。 

(9) 以 开头 ;包含 一 个 me 

(10) 只 含有 4 个 字母 。 

(11) 只 含有 4 个 字母 ,但 不 包含 f。 


3.4 项 目 实录 


项 目 实录 一 : Shell 编程 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 实 训 目 的 及 内 容 
(1) 掌握 Shell 环境 变量 ,管道 ,输入 /输出 重 定向 的 使 用 方法 。 
(2) 熟悉 Shell 程序 设计 的 方法 。 


3. 项 目 背景 
(1) 如 果 想 利用 循环 计算 1 十 2 十 3 十 … 十 100 的 值 ,该 怎样 编写 程序 ? 
如 果 想 要 让 用 户 自行 输入 一 个 数字 ,让 程序 由 1 十 2 十 … 直 到 你 输入 的 数字 为 止 , 该 如 何 
编写 程序 呢 ? 
(2) 创建 一 个 脚本 ,名 为 /root/batchusers, 此 脚本 能 为 系统 创建 本 地 用 户 , 并 且 这 些 用 
户 的 用 户 名 来 自 一 个 包含 用 户 名 列表 的 文件 。 同 时 满足 下 列 要 求 。 
。 此 脚本 要 求 提供 一 个 参数 ,此 参数 就 是 包含 用 户 名 列表 的 文件 。 
。 如 果 没 有 提供 参数 ,此 脚本 应 该 给 出 提示 信息 “Usage:/root/batchusers”, 然 后 退出 
并 返回 相应 的 值 。 
。 如 果 提 供 一 个 不 存在 的 文件 名 ,此 脚本 应 该 给 出 提示 信息 “input file not found”, 然 
后 退出 并 返回 相应 的 值 。 
。 创建 的 用 户 登 录 Shell 为 /bin/false。 
。 此 脚本 需要 为 用 户 设 置 默 认 密 码 123456。 


4. 做 一 做 

根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效 果 。 
项 目 实录 二 : Vim 编辑 器 

1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观看 视频 。 


2. 项 目 实 训 目的 及 内 容 

(1) 掌握 Vim 编辑 器 的 启动 与 退出 方法 。 

(2) 掌握 Vim 编辑 器 的 3 种 模式 及 使 用 方法 。 
(3) 熟悉 C/C++ 编译 器 gcc 的 使 用 方法 。 
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3. 项 目 背景 
在 Linux 操作 系统 中 设计 一 个 C 语言 程序 , 当 程序 运行 时 显示 如 图 3-4 所 示 的 运行 
结果 。 
root@RHEL4 test]# 1 
RootoRHELA test]s 
4. 做 一 做 


根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效 果 。 
3.5 实 训 


实 训 一 : Shell 的 使 用 


1. 实 训 目的 及 内 容 
练习 使 用 Shell 的 各 项 功能 。 


2. 实 训 练习 

(1) 命令 补 齐 功 能 

用 date 命令 查看 系统 当前 的 时 间 ,在 输入 da 后 , 按 Tab 键 , 让 Shell 自动 补 齐 命 

后 半 部 分 。 

用 mkdir 命令 创建 新 的 目录 。 首 先 输入 第 一 个 字母 m, 然 后 按 Tab 键 。 由 于 以 m 开 

头 的 命令 太 多 ,Shell 会 提示 是 否 4 显示 全 部 的 可 能 命令 ,再 输入 n。 

。 接着 输入 一 个 字母 k, 按 Tab 键 ,让 Shell 列 出 以 mk 开头 的 所 有 命令 。 

。 在 列表 中 查找 mkdir 命令 ,看 看 还 需要 多 输入 几 个 字母 才能 确定 mkdir 这 个 命令 ， 
然后 输入 需要 的 字母 ,再 按 Tab 键 ,让 Shell 补 齐 剩 下 的 命令 。 

。 最 后 输入 要 创建 的 目录 名 , 按 Enter 键 执行 命令 。 

。 多 试 几 个 命令 并 利用 Tab 键 补 齐 。 

(2) 命令 别名 功能 

输入 alias 命令 ,显示 目前 已 经 设置 好 的 命令 的 别名 。 

。 设置 别名 ls 为 ls -1, 以 长 格式 显示 文件 列表 。 

。 a ls 代表 的 命令 ,确认 设置 生效 。 

。 使 用 别名 ls 显示 当前 目录 中 的 文件 列表 。 

。 在 使 定义 的 别名 不 失效 的 情况 下 ,使 用 系统 的 ls 命令 显示 当前 目录 中 的 命令 列表 。 

。 删除 别名 。 

。 显示 别名 ls ,确认 删除 别名 已 经 生效 。 

。 用 命令 1s 显示 当前 目录 中 的 文件 列表 。 
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(3) 输出 重 定向 

。 用 1s 命令 显示 当前 目录 中 的 文件 列表 。 

。 使 用 输出 重 定向 ,把 1s 命令 在 终端 上 显示 的 当前 目录 中 的 文件 列表 重 定向 到 文件 
list 中 。 

。 查看 文件 list 中 的 内 容 , 注 意 在 列表 中 会 多 出 一 个 文件 list, 其 长 度 为 0。 这 说 明 
Shell 首先 创建 了 一 个 空 文件 ,然后 再 运行 ls 命令 。 

。 再 次 使 用 输出 重 定向 ,把 ls 命令 在 终端 上 显示 的 当前 目录 中 的 文件 列表 重 定向 到 文 
件 list 中 。 这 次 使 用 管道 符号 二 二 进行 重 定向 。 

。 查看 文件 list 的 内 容 , 可 以 看 到 用 二 二 进行 重 定向 是 把 新 的 输出 内 容 附加 在 文件 的 
末尾 ,注意 其 中 两 行 list 文件 的 信息 中 文件 大 小 的 区 别 。 

(4) 输入 重 定向 

。 使 用 输入 重 定向 ,把 上 面 生成 的 文件 list 用 mail 命令 发 送 给 自己 。 

。 查看 新 邮件 ,看 看 收 到 的 新 邮件 中 其 内 容 是 否 为 list 文件 中 的 内 容 。 

(5) 管道 

。 利用 管道 和 grep 命令 在 上 面 建立 的 文件 list 中 查找 字符 串 list。 

。 利用 管道 和 we 命令 计算 文件 list 中 的 行 数 .单词 数 和 字符 数 。 

(6) 查看 和 修改 Shell 变量 

。 用 echo 命令 查看 环境 变量 PATH 的 值 。 

。 设置 环境 变量 PATH 的 值 ,把 当前 目录 加 入 到 命令 搜索 路 径 中 去 。 

。 用 echo 命令 查看 环境 变量 PATH 的 值 。 

。 比较 前 后 两 次 的 变化 。 


3. 实 训 报告 
按 要 求 完成 实 训 报 告 。 


实 训 二 : Vim 编辑 器 的 使 用 


1. 实 训 目的 及 内 容 
通过 练习 两 个 C 程序 学 习 Vim 的 启动 .存盘 、 文 本 输入 、 现 有 文件 的 打开 、 光 标 移动 、 复 
制 /剪贴 ,查找 /替换 等 命令 。 


2. 实 训 练习 
(1) 在 Vim 中 编写 一 个 abc. c 程序 ,对 程序 进行 编译 链接 、 运 行 。 程 序 具体 如 下 : 


[student@ serverl student]$ cd abc 
[student@ serverl abc]$ vim abc.c 
main() 
{ 

int ivsum= 0; 

for(i=0;i<=100;i++) 

{ 

Sumr sumt i; 


} 


从 如 上 内 容 的 基础 上 总 结 Vim 的 启动 存盘、 文本 输入 、 现 有 文件 的 打开 、 光 标 移动 、 复 
制 /剪贴 查找 /替换 等 命令 。 

(2) 编写 一 个 程序 解决 “ 鸡 兔 同 笼 " 问 题 。 

参考 程序 如 下 : 


3. 实 训 思 考题 

(1) 输出 重 定 向 之 和 之 之 的 区 别 是 什么 ? 

(2) 什么 是 Shell? Shell 分 为 哪些 种 类 ? 

(3) 某 用 户 登录 Linux 系统 后 得 到 的 Shell 命令 提示 符 为 “[root@long 一 ]#”, 请 根据 
此 提示 符 给 出 登录 的 用 户 名 、 主 机 名 、 当 前 目录 。 


4. 实 训 报告 
按 要 求 完 成 实 训 报告 。 
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Linux 是 多 用 户 多 任务 的 网 络 操作 系统 ,作为 网 络 管理 员 , 掌 握 用 户 和 组 的 
创建 与 管理 至 关 重 要 。 本 章 将 主要 介绍 利用 命令 行 和 图 形 工具 对 用 户 和 组 群 
进行 创建 与 管理 等 内 容 。 


。 了 解 用 户 和 组 群 配置 文件 。 

(8) 。 熟练 掌握 Linux 下 用 户 的 创建 与 维护 管理 。 
。 熟练 掌握 Linux 下 组 群 的 创建 与 维护 管理 。 
。 热 悉 用 户 账户 管理 器 的 使 用 方法 。 


4.1 理解 用 户 账户 和 组 群 


Linux 操作 系统 是 多 用 户 多 任务 的 操作 系统 , 它 允 许多 个 用 户 同时 登录 到 系统 ,使 用 系 
统 资源 。 用 户 账户 是 用 户 的 身份 标识 ,用 户 通过 用 户 账户 可 以 登录 到 系统 ,并 且 访 问 已 经 被 
授权 的 资源 。 系 统 依据 账户 来 区 分 属于 每 个 用 户 的 文件 .进程 ,任务 ,并 给 每 个 用 户 提供 特 
定 的 工作 环境 (例如 用 户 的 工作 目录 、Shell 版 本 以 及 图 形 化 的 环境 配置 等 ) ,使 每 个 用 户 都 
能 各 自 独立 \ 不 受 干扰 地 工作 。 

Linux 系统 下 的 用 户 账 户 分 为 两 种 : 普通 用 户 账户 和 超级 用 户 账 户 
(root)。 普 通用 户 在 系统 中 只 能 进行 普通 工作 ,只 能 访问 它们 拥有 的 或 者 
有 权限 执行 的 文件 。 超 级 用 户 账户 也 叫 管理 员 账 户 , 它 的 任务 是 对 普通 用 
户 和 整个 系统 进行 管理 。 超 级 用 户 账户 对 系统 具有 绝对 的 控制 权 , 能 够 对 
系统 进行 一 切 操作 ,如 操作 不 当 则 很 容易 对 系统 造成 损坏 。 

因此 ,即使 系统 只 有 一 个 用 户 使 用 ,也 应 该 在 超级 用 户 账户 之 外 再 建立 一 个 普通 用 户 账 
户 ,在 用 户 进行 普通 工作 时 以 普通 用 户 账户 登录 系统 。 

在 Linux 系统 中 为 了 方便 管理 员 的 管理 和 用 户 工作 的 方便 ,产生 了 组 群 的 概念 。 组 群 
是 具有 相同 特性 的 用 户 的 逻辑 集合 ,使 用 组 群 有 利于 系统 管理 员 按照 用 户 的 特性 组 织 和 管 
理 用 户 ,提高 工作 效率 。 有 了 组 群 ,在 做 资源 授权 时 可 以 把 权限 赋予 某 个 组 群 ,组 群 中 的 成 
员 即 可 自动 获得 这 种 权限 。 一 个 用 户 账户 可 以 同时 是 多 个 组 群 的 成 员 , 其 中 某 个 组 群 是 该 
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户 的 主 组 群 (私有 组 群 ) ,其 他 组 群 为 该 用 户 的 附属 组 群 (标准 组 群 )。 表 4-1 列 出 了 与 用 
户 和 组 群 相关 的 一 些 基 本 概念 。 


表 4-1 与 用 户 和 组 群 相关 的 基本 概念 


概 念 描 述 
用 户 名 用 来 标识 用 户 的 名 称 ,可 以 是 字母 .数字 组 成 的 字符 串 ,区 分 大 小 写 
密码 用 于 验证 用 户 身份 的 特殊 验证 码 
用 户 标识 (CUID) 用 来 表示 用 户 的 数字 标识 符 
用 户主 目录 用 户 的 私人 目录 ,也 是 用 户 登录 系统 后 默认 所 在 的 目录 
登录 Shell 用 户 登 录 后 默认 使 用 的 Shell 程序 ,默认 为 /bin/bash 
组 群 具有 相同 属性 的 用 户 属于 同一 个 组 群 
组 群 标识 (GID) 用 来 表示 组 群 的 数字 标识 符 


系统 用 户 的 UID 为 1 一 999; 普 通用 户 的 UID 可 以 在 创建 时 由 管理 员 指定 ,如 果 不 指定 ,用 
户 的 UID 默认 从 1000 开始 顺序 编号 。 在 Linux 系统 中 ,创建 用 户 账户 的 同时 也 会 创建 一 个 与 
用 户 同名 的 组 群 ,该 组 群 是 用 户 的 主 组 群 。 普 通 组 群 的 GID 默认 也 是 从 1000 开始 编号 。 


4.2 理解 用 户 账户 文件 和 组 群 文件 


用 户 账户 信息 和 组 群 信息 分 别 存储 在 用 户 账户 文件 和 组 群 文件 中 。 
4.2.1 理解 用 户 账户 文件 


1. /etc/passwd 文件 
准备 工作 : 新 建 用 户 bobby .userl .user2 ,将 userl 和 user2 加 入 到 bobby 群 组 。( 后 面 
章节 有 详解 。) 


[root@ serverl ~ ]# useradd bcbby 
[root@serverl ~ ]# Useracd userl 
[root@ serverl ~ ]# useracdd user2 
[root@ serverl ~ ]# Usermod - G bcbby userl 
[root@ serverl ~ ]# usenmod - G bcbby user2 


在 Linux 系统 中 ,所 创建 的 用 户 账户 及 其 相关 信息 (密码 除外 ) 均 放 在 /etc/passwd 配置 
文件 中 。 用 Vim 编辑 器 (或 者 使 用 cat /etc/passwd) 打 开 passwd 文件 ,内 容 格式 如 下 : 


roct:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:/bin:/sbin/nologin 
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
userl:x:1002:1002::/home/userl:/bin/bash 


文件 中 的 每 一 行 代表 一 个 用 户 账户 的 资料 ,可 以 看 到 第 一 个 用 户 是 root。 然 后 是 一 些 
标准 账户 ,此 类 账户 的 Shell 为 /sbin/nologin, 代 表 无 本 地 登录 权限 。 最 后 一 行 是 由 系统 管 
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理 员 创建 的 普通 账户 userl 。 
passwd 文件 的 每 一 行 用 “ : ”分隔 为 7 个 域 ,每 一 行 各 域 的 内 容 如 下 : 
用 户 名 :加 密 口令 :UID:GID: 用 户 的 描述 信息 : 主 目录 :命令 解释 器 除 录 shel1) 
passwd 文件 中 各 字段 说 明 如 表 4-2 所 示 ,其 中 少数 字段 的 内 容 是 可 以 为 空 的 ,但 仍 需 使 
“: "进行 占 位 来 表示 该 字段 。 
表 4-2 passwd 文件 各 字段 说 明 


字 有 段 说 明 

用 户 名 用 户 账 号 名 称 ,用 户 登 录 时 所 使 用 的 用 户 名 

加 密 口令 用 户口 令 , 出 于 安全 性 考虑 ,现在 已 经 不 使 用 该 字段 保存 口令 ,而 用 字母 x 来 填充 该 字 
段 ,真正 的 密码 保存 在 shadow 文件 中 

UD 用 户 号 ,唯一 表示 某 用 户 的 数字 标识 

GID 用 户 所 属 的 私有 组 号 ,该 数字 对 应 group 文件 中 的 GID 

用 户 描述 信息 | 可 选 的 关于 用 户 全 名 、 用 户 电话 等 描述 性 信息 

主 目录 用 户 的 宿主 目录 ,用 户 成 功 登录 后 的 默认 目录 


命令 解释 器 用 户 所 使 用 的 Shell, 默 认为 /bin/bash 


2. /etc/shadow 文件 

由 于 所 有 用 户 对 /etc/passwd 文件 均 有 读 取 权 限 , 为 了 增强 系统 的 安全 性 ,用 户 经 过 加 
密 之 后 的 口令 都 存放 在 /etc/shadow 文件 中 。/etc/shadow 文件 只 对 root 用 户 可 读 ,因而 大 
大 提高 了 系统 的 安全 性 。shadow 文件 的 内 容 形式 如 下 (cat /etc/shadow): 


Toot:$ 6$ PQxZ M3s$ RaTAkw53/n7mtDgjPNWAOS66/5RZgjhoslzT2FO0ouE2iTM. 
AVWRIYoez10hGS TkBHEaah .oHSU1t600j2RE. :17654:0:99999:7::: 

bin: * :16925:0:99999:7::: 

daemon: * :16925:0:99999: 
bobby: !!:17656:0:99999: 
userl:!1!:17656:0:99999:7::: 


shadow 文件 保存 投影 加 密 之 后 的 口令 以 及 与 口令 相关 的 一 系列 信息 ,每 个 用 户 的 信息 
在 shadow 文件 中 占用 一 行 ,并 且 用 “: ”分隔 为 9 个 域 .各 域 的 含义 如 表 4-3 所 示 。 


表 4-3 shadow 文件 字段 说 明 


字 段 说 明 
1 用 户 登 录 名 
2 加 密 后 的 用 户口 令 ,“* "表示 非 登 录用 户 ,“!1” 表 示 没 设置 密码 
3 从 1970 年 1 月 1 日 起 到 用 户 最 近 一 次 口令 被 修改 的 天 数 
4 从 1970 年 1 月 1 日 起 到 用 户 可 以 更 改 密码 的 天 数 , 即 最 短 口 令 存 活期 
5 从 1970 年 1 月 1 日 起 到 用 户 必须 更 改 密码 的 天 数 , 即 最 长 口令 存活 期 


人 
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续 表 
字 段 说 明 
6 口令 过 期 前 几 天 提醒 用 户 更 改口 令 
7 口令 过 期 后 几 天 账户 被 禁用 
8 口令 被 禁用 的 具体 日 期 (相对 日 期 ,从 1970 年 1 月 1 日 起 至 禁用 时 的 天 数 ) 
9 保留 域 , 用 于 功能 扩展 


3. /etc/login. defs 文件 
建立 用 户 账户 时 会 根据 /etc/login. defs 文件 的 配置 设置 用 户 账 户 的 某 些 选项 。 该 配置 
文件 的 有 效 设置 内 容 及 中 文 注释 如 下 (cat /etc/login. defs) : 


MAIL DIR /var/spool/mail // 用 户 邮 箱 目 录 

MRIL FTIE .mail 

PASS MRX DRYS 99999 // 账 户 密码 最 长 有 效 天 数 

FASS MIN Pays 0 // 账 户 密码 最 短 有 效 天 数 

ERSS MIN IEN 5 // 账 户 密码 的 最 小 长 度 

ERSS WARN mc 7 // 账 户 密码 过 期 前 提前 警告 的 天 数 

UID MIN 1000 ”// 用 userada 命 令 创建 账户 时 自动 产生 的 最 小 up 值 

UID MAX 60000 ”// 用 userada 命 令 创 建 账户 时 自动 产生 的 最 大 mp 值 

GID MIN 1000 // 用 groupada 命 令 创建 组 群 时 自动 产生 的 最 小 GD 值 

GID MAX 60000 ”// 用 groupada 命 令 创建 组 群 时 自动 产生 的 最 大 GID 值 

USERIET CMD /usr/sbin/userdel local // 如 果 已 定义 目录 ,将 在 删除 用 户 时 执行 ,以 删除 
相应 用 户 的 计划 作业 和 打印 作业 等 

CREATE HOME yes // 创 建 用 户 账户 时 是 否 为 用 户 创建 主 目录 


4.2.2 理解 组 群 文件 


组 群 账户 的 信息 存放 在 /etc/group 文件 中 ,而 关于 组 群 管理 的 信息 (组 群 口令 、 组 群 管 
理 员 等 ) 则 存放 在 /etc/gshadow 文件 中 。 


1. /etc/group 文件 

group 文件 位 于 /etc 目录 ,用 于 存放 用 户 的 组 账户 信息 ,对 于 该 文件 的 内 容 任 何 用 户 都 
可 以 读 取 。 每 个 组 群 账户 在 group 文件 中 占用 一 行 ,并 且 用 “: "分隔 为 4 个 域 。 每 一 行 各 域 
的 内 容 如 下 (使 用 cat /etc/group): 


组 群 名 称 :组 群 口令 (一 般 为 空 ,用 x 占 位 ):GID: 组 群 成 员 列表 
group 文件 的 内 容 形式 如 下 : 


root:x:0: 

bin:x:1: 

daemon:x:2: 
bobby:x:1001:userl,user2 
userl:x:1002: 


2T m1 
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可 以 看 出 ,root 的 GID 为 0, 没有 其 他 组 成 员 。group 文件 的 组 群 成 员 列 表 中 如 果 有 多 
个 用 户 账户 属于 同一 个 组 群 , 则 各 成 员 之 间 以 “.? 分 隔 。 在 /etc/group 文件 中 ,用 户 的 主 组 
群 并 不 把 该 用 户 作 为 成 员 列 出 ,只 有 用 户 的 附属 组 群 才 会 把 该 用 户 作为 成 员 列 出 。 例 如 用 
户 bobby 的 主 组 群 是 bobby, 但 /etc/group 文件 中 组 群 bobby 的 成 员 列表 中 并 没有 用 户 
bobby, 只 有 用 户 userl 和 user2 。 


2. /etc/gshadow 文件 

/etc/gshadow 文件 用 于 存放 组 群 的 加 密 口令 、 组 管理 员 等 信息 ,该 文件 只 有 root 用 户 
可 以 读 取 。 每 个 组 群 账户 在 gshadow 文件 中 占用 一 行 , 并 以 “: ”分隔 为 4 个 域 。 每 一 行 中 各 
域 的 内 容 如 下 : 


组 群 名 称 加 密 后 的 组 群 口令 没有 就 ) :组 群 的 管理 员 :组 群 成 员 列表 


gshadow 文件 的 内 容 形 式 如 下 (使 用 cat /etc/gshadow): 


root::: 

bin::: 

daemn::: 

bobby: !: :userl, 

userl:!:: 
4.3 管理 用 户 账户 

用 户 账户 管理 包括 新 建 用 户 、 设 置 用 户 账户 口令 和 维护 用 户 账户 等 内 容 。 
4.3.1 新 建 用 户 


在 系统 新 建 用 户 可 以 使 用 useradd 或 者 adduser 命令 。useradd 命令 的 格式 是 : 
useradd [选项 ] <username> 


useradd 命令 有 很 多 选项 ,如 表 4-4 所 示 。 


表 4-4 ”useradd 命令 选项 说 明 


选 项 说 明 
-c comment 用 户 的 注释 性 信息 
-d home_dir 指定 用 户 的 主 目录 
-e expire_date 禁用 账号 的 日 期 ,格式 为 YYYY-MM-DD 


设置 账户 过 期 多 少 天 后 用 户 账 户 被 禁用 。 如 果 为 0, 账 户 过 期 后 将 立即 被 禁用 ; 
如 果 为 一 1, 账 户 过 期 后 将 不 被 禁用 


-g initial_group 用 户 所 属 主 组 群 的 组 群 名 称 或 者 GID 
-G group-list 用 户 所 属 的 附属 组 群 列表 ,多 个 组 群 之 间 用 逗号 分 隔 


-f inactive_days 


95 
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续 表 
选 项 说 明 
-m 若 用 户主 目录 不 存在 , 则 创建 它 
-M 不 要 创建 用 户主 目录 
-n 不 要 为 用 户 创建 用 户 私 人 组 群 
-p passwd 加 密 的 口令 
各 创建 UID 小 于 500 的 不 带 主 目录 的 系统 账号 
-s shell 指定 用 户 的 登录 Shell, 默 认为 /bin/bash 
-uUID 指定 用 户 的 UID, 它 必须 是 唯一 的 , 且 大 于 499 


【 例 4-1】 新 建 用 户 user3,UID 为 1010 ,指定 其 所 属 的 私有 组 为 groupl(groupl 组 的 
标识 符 为 1010) ,用 户 的 主 目录 为 /homeVuser3 ,用户 的 Shell 为 /bin/bash, 用 户 的 密码 为 
123456 ,账户 永 不 过 期 。 


[root@ serverl ~ ]# groupedd ~ g 1010 groupl 

[root@serverl ~ ]# useradd ~ u 1010 - g 1000- d /home/user3 - s /bin/bash -p 123456 - £ -1 user3 
[root@serverl ~ ]#tail -1 /etc/passwd 

User3:x:1010:1000::/home/user3:/bin/bash 


如 果 新 建 用 户 已 经 存在 ,那么 在 执行 useradd 命令 时 ,系统 会 提示 该 用 户 已 经 存在 。 


[root@ serverl ~ ]# useradd user3 
useradd: user Userl exists 


4.3.2 设置 用 户 账户 口令 


1. passwd 命令 
指定 和 修改 用 户 账户 口令 的 命令 是 passwd。 超 级 用 户 可 以 为 自己 和 其 他 用 户 设置 口令 ， 
而 普通 用 户 只 能 为 自己 设置 口令 。passwd 命令 的 格式 如 下 : 


passwd [选项 ] [usermame] 
passwd 命令 的 常用 选项 如 表 4-5 所 示 。 


表 4-5 passwd 命令 的 常用 选项 
选 项 说 明 


-1 锁定 ( 停 用 ) 用 户 账户 


-u 口令 解锁 


将 用 户口 令 设置 为 空 ,这 与 未 设置 口令 的 账户 不 同 。 未 设置 口令 的 账户 无 法 登录 系 
统 ,而 口令 为 空 的 账户 可 以 


强迫 用 户 下 次 登录 时 必须 修改 口令 
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续 表 
选 项 说 明 
-n 指定 口令 的 最 短 存活 期 
-x 指定 口令 的 最 长 存活 期 
-w 口令 要 到 期 前 提前 警告 的 天 数 
| 口令 过 期 后 多 少 天 停 用 账户 
-S 显示 账户 口令 的 简短 状态 信息 


【 例 4-2】 假设 当前 用 户 为 root, 则 下 面 的 两 个 命令 分 别 为 root 用 户 修改 自己 的 口令 和 
root 用 户 修 改 userl 用 户 的 口令 。 


//roct 用 户 修改 自己 的 口令 ,直接 用 passwa 命 令 并 按 Enter 键 即 可 
[root@ serverl ~ ]#passwd 


//root 用 户 修改 userl 用 户 的 口令 
[root@serverl ~ ]#passwd Userl 


需要 注意 的 是 ,普通 用 户 修改 口令 时 ,passwd 命令 会 首先 询问 原来 的 口令 ,只 有 验证 通 
过 才 可 以 修改 。 而 root 用 户 为 用 户 指定 口令 时 ,不 需要 知道 原来 的 口令 。 为 了 系统 安全 ,用 
户 应 选择 包含 字母 ,数字 和 特殊 符号 组 合 的 复杂 口令 , 且 口 令 长 度 应 至 少 为 8 个 字符 。 

如 果 密 码 复杂 度 不 够 ,系统 会 提示 "无 效 的 密码 : 密码 未 通过 字典 检查 一 一 它 基 于 字典 
单词 ”。 这 时 有 两 种 处 理 方法 : 一 种 方法 是 再 次 输入 刚才 输入 的 简单 密码 ,系统 也 会 接受 ; 
另 一 种 方法 是 更 改 为 符合 要 求 的 密码 ,比如 用 PQ@ssw02d, 就 包含 大 小 写字 母 ,数字 .特殊 符 
号 等 8 位 或 以 上 的 字符 组 合 。 

2. chage 命令 

要 修改 用 户 账户 口令 也 可 以 用 chage 命令 实现 。chage 命令 的 常用 选项 如 表 4-6 所 示 。 


表 4-6 chage 命令 的 常用 选项 


选 项 说 明 选 项 说 明 
| 列 出 账户 口令 属性 的 各 个 数值 证 口令 过 期 后 多 少 天 停 用 账户 
-m 指定 口令 最 短 存活 期 下 用 户 账户 到 期 作废 的 日 期 
-M 指定 口令 最 长 存活 期 -d 设置 口令 上 一 次 修改 的 日 期 
-W 口令 要 到 期 前 提前 警告 的 天 数 


【 例 4-3】 设置 userl 用 户 的 最 短 口令 存活 期 为 6 天 ,最 长 口令 存活 期 为 60 天 ,口令 到 
期 前 5 天 提醒 用 户 修改 口令 。 设 置 完成 后 查看 各 属性 值 。 


[root@serverl ~ ]#chage -m 6 -M 60 -WS5 userl 
[root@serverl ~ ]# chage -1 userl 
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最 近 一 次 密码 修改 时 间 : 2018-5 4 
密码 过 期 时 间 : 2018-73 
密码 失效 时 间 : 从 不 
账户 过 期 时 间 : 从 不 

两 次 改变 密码 之 间 相距 的 最 小 天 数 :6 

两 次 改变 密码 之 间 相距 的 最 大 天 数 :@ 

在 密码 过 期 之 前 警告 的 天 数 :5 


4.3.3 ”维护 用 户 账户 


1. 修改 用 户 账户 
usermod 命令 用 于 修改 用 户 的 属性 ,其 语法 格式 为 : 


usermpad [选项 ] 用 户 名 


前 文 曾 反复 强调 ,Linux 系统 中 的 一 切 都 是 文件 ,因此 在 系统 中 创建 用 户 也 就 是 修改 配 
置 文件 的 过 程 。 用 户 的 信息 保存 在 /etc/passwd 文件 中 ,可 以 直接 用 文本 编辑 器 来 修改 其 中 
的 用 户 参数 项 目 , 也 可 以 用 usermod 命令 修改 已 经 创建 的 用 户 信息 ,诸如 用 户 的 UID、 基 本 / 
扩展 用 户 组 ,默认 终端 等 。usermod 命令 中 的 参数 及 作用 如 表 4-7 所 示 。 


参 数 


表 4-7 usermod 命令 中 的 参数 及 作用 
作 用 


填写 用 户 账户 的 备注 信息 


参数 -m 与 参数 -d 连用 ,可 重新 指定 用 户 的 家 目录 并 自动 把 旧 的 数据 转移 过 去 


账户 的 到 期 时 间 ,格式 为 YYYY-MM-DD 


变更 所 属 用 户 组 


变更 扩展 用 户 组 


锁定 用 户 ,禁止 其 登录 系统 


解锁 用 户 ,允许 其 登录 系统 


-8 


变更 默认 终端 


-u 


修改 用 户 的 UID 


(1) 先 来 看 一 下 账户 用 户 userl 的 默认 信息 。 


[root@serverl ~ ]#id userl 
uid= 1002 (userl) gid= 1002 (userl) 组 =1002(userl),1001 (bcbby) 


(2) 然后 将 用 户 userl 加 入 到 root 用 户 组 中 ,这 样 扩展 组 列表 中 则 会 出 现 root 用 户 组 
的 字样 ,而 基本 组 不 会 受到 影响 。 


[root@serverl ~ ]# usenmmd - G root userl 
[root@serverl ~ ]#id userl 
uid= 1002 (userl) gid= 1002 (userl) 组 =1002 (userl),0(root) 
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RR 


(3) 再 来 试 试用 -u 参数 修改 userl 用 户 的 UID 号 码 值 。 除 此 之 外 ,我 们 还 可 以 用 -g 
数 修 改 用 户 的 基本 组 ID, 用 -G 参数 修改 用 户 扩 展 组 ID。 


[root@ serverl ~ ]# usenmod —u 8888 userl 
[root@serverl ~ ]#id userl 
uid= 8888 (userl) gid= 1002(userl) 组 =1002 (userl),0(root) 


(4) 修改 用 户 userl 的 主 目录 为 /var/userl, 把 启动 Shell 修改 为 /bin/tecsh, 完 成 后 恢复 
到 初始 状态 。 可 以 用 如 下 操作 。 


[root@serverl ~ ]# Usermod - d /var/userl - s /bin/tcsh userl 
[root@serverl ~ ]#tail -3 /etc/passwd 
userl:x:8888:1002: : /var/userl:/bin/tcsh 

User2:x:1003:1003: :/home/user2:/bin/bash 
user3:x:1010:1000::/home/user3:/bin/bash 

[root@serverl ~ ]# Usermmod - d /home/userl - s /bin/bash userl 


2. 禁用 和 恢复 用 户 账户 

有 了 时 需要 临时 禁用 一 个 账户 而 不 删除 它 。 禁 用 用 户 账户 可 以 用 passwd 或 usermod 命 
令 实现 ,也 可 以 直接 修改 /etc/passwd 或 /etc/shadow 文件 来 实现 。 

例如 ,暂时 禁用 和 恢复 user3 账户 ,可 以 使 用 以 下 3 种 方法 实现 。 

(1) 使 用 passwd 命令 


// 使 用 Fasad 命 令 禁 用 user3 账 户 。 利 用 tail 命令 查看 ,可 以 看 到 被 锁定 的 账户 密码 栏 前 面 会 加 上 
[root@serverl ~ ]#passwd - 1 user3 

1/ 锁定 用 户 user3 的 密码 

Fasswd: 操作 成 功 

[root@serverl ~ ]#tail -1 /etc/shadow 

User3:123456:17656:0:99999:7::: 


// 利 用 Passwa 命 令 的 -u 选 项 解除 账户 锁定 ,重新 启用 user3 账 户 
[root@ serverl ~ ]#passwd - u user3 


(2) 使 用 usermod 命令 


// 禁 用 userl 账 户 

[root@ serverl ~ ]#usenmmd -L userl 
// 解 除 userl 账 户 的 锁定 

[root@ serverl ~ J]#usemmod - U userl 


(3) 直接 修改 用 户 账户 配置 文件 

可 将 /etc/passwd 文件 或 /etc/shadow 文件 中 关于 userl 账户 的 passwd 域 的 第 一 个 字 
符 前 面 加 上 一 个 “* ”, 达 到 禁用 账户 的 目的 。 在 需要 恢复 的 时 候 只 要 删除 字符 “* ” 即 可 。 

如 果 只 是 禁止 用 户 账户 登录 系统 ,可 以 将 其 启动 Shell 设置 为 /bin/false 或 者 /dev/null。 

3. 删除 用 户 账户 

要 删除 一 个 账户 ,可 以 直接 编辑 删除 /etc/passwd 和 /etc/shadow 文件 中 要 删除 的 用 户 
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所 对 应 的 行 ,或 者 用 userdel 命令 删除 。userdel 命令 的 格式 为 : 
userdel [zj 用 户 名 


如 果 不 加 -r 选项 , userdel 命令 会 在 系统 中 所 有 与 账户 有 关 的 文件 中 (例如 /etc/ 
passwd、/etc/shadow、/etc/group) 将 用 户 的 信息 全 部 删除 。 

如 果 加 -r 选项 , 则 在 删除 用 户 账户 的 同时 ,还 将 用 户主 目录 以 及 其 下 的 所 有 文件 和 目录 
全 部 删除 掉 。 另 外 ,如 果 用 户 使 用 e-mail, 同 时 也 将 /var/spool/mail 目录 下 的 用 户 文件 
删 掉 。 


4.4 管理 组 群 


组 群 管理 包括 新 建 组 群 、 维 护 组 群 账户 和 为 组 群 添加 用 户 等 内 容 。 
4.4.1 维护 组 群 账户 


创建 组 群 和 删除 组 群 的 命令 与 创建 、 维 护 账户 的 命令 相似 。 创 建 组 群 可 以 使 用 命令 
groupadd 或 者 addgroup。 
例如 ,创建 一 个 新 的 组 群 ,组 群 的 名 称 为 testgroup, 可 用 以 下 命令 。 


[root@ serverl ~ ]# groupadd testgroup 
要 删除 一 个 组 可 以 用 groupdel 命令 ,例如 删除 刚 创 建 的 testgroup 组 ,可 用 以 下 命令 。 
[root@ serverl ~ ]# groupdel testgroup 


需要 注意 的 是 ,如 果 要 删除 的 组 群 是 某 个 用 户 的 主 组 群 , 则 该 组 群 不 能 被 删除 。 
修改 组 群 的 命令 是 groupmod, 其 命令 格式 如 下 : 


groupmod [选项 ] 组 名 


常见 的 groupmod 命令 选项 如 表 4-8 所 示 。 
表 4-8 常见 的 groupmod 命令 选项 
选 项 说 明 选 项 说 明 
-g gid 把 组 群 的 GID 改 成 gid -0 强制 接受 更 改 的 组 的 GID 为 重复 的 号 码 
-n group-name | 把 组 群 的 名 称 改 为 group-name 


4.4.2 为 组 群 添加 用 户 


在 Red Hat Linux 中 使 用 不 带 任 何 参 数 的 useradd 命令 创建 用 户 时 ,会 同时 创建 一 个 和 
用 户 账户 同名 的 组 群 . 称 为 主 组 群 。 当 一 个 组 群 中 必须 包含 多 个 用 户 时 , 则 需要 使 用 附属 组 
群 。 在 附属 组 中 增加 、 删 除 用 户 都 用 gpasswd 命令 。gpasswd 命令 的 格式 为 : 
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gpasswd [选项 ] [用户 ] 组] 


只 有 root 用 户 和 组 管理 员 才 能 够 使 用 这 个 命令 ,命令 选项 如 表 4-9 所 示 。 
表 4-9 gpasswd 命令 选项 


选 项 说 明 选 项 说 明 
-a 把 用 户 加 入 组 -r 取消 组 的 密码 
-d 把 用 户 从 组 中 删除 -A 给 组 指派 管理 员 


例如 ,要 把 userl 用 户 加 入 testgroup 组 ,并 指派 userl 为 管理 员 , 可 以 执行 下 列 命 令 。 


[root@serverl ~ ]#groupadd testgrop 
[root@serverl ~ ]# gpasswd - a Userl testgroup 
[root@ serverl ~ ]# gpasswd -A Userl testgroup 


4.5 ”使 用 su 命令 与 sudo 命令 


各 位 读者 在 实验 环境 中 很 少 遇 到 安全 问题 ,并 且 为 了 避免 因 权限 因素 导致 配置 服务 失 


败 , 从 而 建议 使 用 root 管理 员 来 学 习 本 书 , 但 是 在 生产 环境 中 还 是 要 对 安全 多 一 份 敬 旦 之 
心 , 不 要 用 root 管理 员 去 做 所 有 事情 。 因 为 一 旦 执行 了 错误 的 命令 ,可 能 会 直接 导致 系统 崩 
溃 。 尽 管 Linux 系统 为 了 安全 性 考虑 ,使 得 许多 系统 命令 和 服务 只 能 被 root 管理 员 使 用 ,但 
是 这 也 让 普通 用 户 受 到 了 更 多 的 权限 束缚 ,从 而 导致 无 法 顺利 完成 特定 的 工作 任务 。 


4.5.1 使 用 su 命令 


su 命令 可 以 解决 切换 用 户 身份 的 需求 ,使 得 当前 用 户 在 不 退出 登录 的 情况 下 ,顺畅 地 切 


换 到 其 他 用 户 , 比 如 从 root 管理 员 切 换 至 普通 用 户 。 


[root@serverl ~ ]#id 

uid= 0(root) gid 0(root) 组 =0(root) 环境 =unconfined u:unconfined r:unconfined 
t:s0- s0:c0.c1023 

[root@serverl ~ ]#useradd - G testgroup test 

[root@serverl ~ ]# su 一 test 

[test@serverl ~ ]$id 

tid= 8889 (test) gid= 8889(test) 组 = 8889(test),1011 (testgroup) 环境 =unoonfined u: 
Unconfined r:unoonfined t:s0- s0:c0.c1023 


细心 的 读者 一 定 会 发 现 . 上 面 的 su 命令 与 用 户 名 之 间 有 一 个 减 号 (一 ), 这 意味 着 完全 


切换 到 新 的 用 户 , 即 把 环境 变量 信息 也 变更 为 新 用 户 的 相应 信息 ,而 不 是 保留 原始 的 信息 。 
强烈 建议 在 切换 用 户 身 份 时 添加 这 个 减 号 (一 )。 


另外 , 当 从 root 管理 员 切 换 到 普通 用 户 时 是 不 需要 密码 验证 的 ,而 从 普通 用 户 切换 成 


root 管理 员 就 需要 进行 密码 验证 了 。 这 也 是 一 个 必要 的 安全 检查 。 
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[test@serverl ~ ]$ gu root 

Password: 

[root@serverl] test]# su -test 

上 一 次 登录 :日 5 月 6 05:22:57 Csr 2018pts/0 上 
[test@serverl ~ ]$exit 

logout: 

[root@serverl test]# 


4.5.2 使 用 sudo 命令 


尽管 像 上 面 这 样 使 用 su 命令 后 ,普通 用 户 可 以 完全 切换 到 root 管理 员 身 份 来 完成 相应 
的 工作 ,但 这 将 暴露 root 管理 员 的 密码 ,从 而 增 大 了 系统 密码 被 黑客 获取 的 概率 。 这 并 不 是 
最 安全 的 方案 。 


用 sudo 命令 把 特定 命令 的 执行 权限 赋 给 指定 用 户 , 这 样 既 可 保证 普通 用 户 能 够 完成 特 
定 的 工作 ,也 可 以 避免 泄露 root 管理 员 密 码 。 我 们 要 做 的 就 是 合理 配置 sudo 服务 ,以便 兼 
顾 系统 的 安全 性 和 用 户 的 便捷 性 。sudo 服务 的 配置 原则 也 很 简单 一 一 在 保证 普通 用 户 完 
成 相应 工作 的 前 提 下 , 尽 可 能 少 地 赋予 额外 的 权限 。 

sudo 命令 用 于 给 普通 用 户 提供 额外 的 权限 来 完成 原本 root 管理 员 才 能 完成 的 任务 ,语法 格式 为 : 


sudo [参数 ] 命令 名 称 


sudo 服务 中 的 可 用 参数 以 及 相应 的 作用 如 表 4-10 所 示 。 
表 4-10 sudo 服务 中 的 可 用 参数 以 及 相应 的 作用 


参数 作 用 
-h 列 出 帮助 信息 
-1 列 出 当前 用 户 可 执行 的 命令 
-u 用 户 名 或 UID 值 以 指定 的 用 户 身 份 执行 命令 
-k 清空 密码 的 有 效 时 间 , 下 次 执行 sudo 时 需要 再 次 进行 密码 验证 
-b 在 后 台 执 行 指定 的 命令 
-Pp 更 改 询问 密码 的 提示 语 


sudo 命令 具有 以 下 功能 。 

。 限制 用 户 执 行 指 定 的 命令 : 

。 记录 用 户 执 行 的 每 一 条 命令 ; 

。 配置 文件 (/etc/sudoers) 提 供 集中 的 用 户 管理 ,权限 与 主机 等 参数 ; 

。 验证 密码 的 后 5min 内 (默认 值 ) 无 须 再 让 用 户 再 次 验证 密码 。 

当然 ,如果 担心 直接 修改 配置 文件 会 出 现 问 题 , 则 可 以 使 用 sudo 命令 提供 的 visudo 命 
令 来 配置 用 户 权限 。 这 条 命令 在 配置 用 户 权限 时 将 禁止 多 个 用 户 同 时 修改 sudoers 配置 文 
件 , 还 可 以 对 配置 文件 内 的 参数 进行 语法 检查 ,并 在 发 现 参数 错误 时 进行 报错 。 


国 只 有 root 管理 员 才 可 以 使 用 visudo 命令 编辑 sudo 服务 的 配置 文件 。 
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使 用 visudo 命令 配置 sudo 命令 的 配置 文件 时 ,其 操作 方法 与 Vim 编辑 器 中 用 到 的 方 
法 一 致 (执行 visudo 后 ,直接 输入 命令 “: set number” 或 者 :set nu”, 可 以 对 配置 文件 加 行 
号 ) ,因此 在 编写 完成 后 记得 在 末 行 模式 下 保存 并 退出 。 在 sudo 命令 的 配置 文件 中 ,按照 下 面 
的 格式 将 第 93 行 (大 约 ) 填 写 上 指定 的 信息 ( 按 i 键 进入 编辑 状态 才 可 更 改 配置 文件 内 容 ) 。 


谁 可 以 使 用 允许 使 用 的 主机 =〈 以 谁 的 身份 ) 可 执行 命令 的 列表 


[root@serverl ~ ]#visudo 

90 ## 

91 ##Allow root to run any ommands anywhere 
9 root ALI= (ALL) ALL 

9 test MIF (ALL) ALL 


在 填写 完毕 后 记得 要 先 保存 再 退出 ( 按 Esc 键 ,输入 *:wq”, 按 Enter 键 ) ,然后 切换 至 指 
定 的 普通 用 户 身份 ,此 时 就 可 以 用 sudo -1 命令 查看 所 有 可 执行 的 命令 了 (下 面 的 命令 中 , 验 
证 的 是 该 普通 用 户 的 密码 ,而 不 是 root 管理 员 的 密码 ,请 读者 不 要 搞 混 了 )。 


[rooteserverl ~ ]# su -test 

上 一 次 登录 :日 5 月 6 05:27:06 CST 2018pts/0 上 

[test@serverl ~ ]$ sudo -1 

[sudo] test 的 密码 : 此 处 输入 test 用 户 的 密码 

匹配 $25s 上 $1$ s 的 默认 条 目 : 

!visiblepw， always set home, match group by gid, env reset, 
env_keep= "OOLORS DISPLAY HOSTNRME HISTSIZE KDEDIR LS OOLORS", 
env_keept+ = "MAIL PS1 PS2 QIDIR USERNAME, IANG IC ADDRESS IC CTYPE", 
env_keept = "IC OOLIATE LC ITENTIFICATION IC MEASURFMENT IC MESSAES", 
env_keept = "IC MONETARY IC NAME IC NMERIC IC PAPER IC TETEPHONE", 
env_keept = "IC_TIME IC ALL IRNGURGE IINGURS XKB_CHARSET XAUTHORITY", 
secure path= /sbin\ :/bin\ :/usr/sbin\ :/usr/bin 


用 户 test 可 以 在 rhel7-1 上 运行 以 下 命令 。 
ID) ALL 


作为 一 名 普通 用 户 ,是 肯定 不 能 看 到 root 管理 员 的 家 目录 (/root) 中 的 文件 信息 的 ,但 
是 ,只 需要 在 想 执行 的 命令 前 面 加 上 sudo 命令 就 可 以 了 。 


[testeserverl ~]$ ls /roct 

1s: 无 法 打开 目录 /root: 权限 不 够 

[testeserverl ~]$ sudo 1s /root 

560 file anaconda- ks.cfg initial- setup-ks.cfg 公共 视频 文档 音乐 
aa etc.tar.gz wordpress.zip ”模板 图 片 下 载 桌面 


但 是 考虑 到 生产 环境 中 不 允许 某 个 普通 用 户 拥有 整个 系统 中 所 有 命令 的 最 高 执行 权 
(这 也 不 符合 前 文 提 到 的 权限 赋予 原则 , 即 尽 可 能 少 地 赋予 权限 ), 则 ALL 参数 就 有 些 不 合 
适 了 。 因 此 只 能 赋予 普通 用 户 具体 的 命令 以 满足 工作 需求 ,这 也 受到 了 必要 的 权限 约 东 。 
如 果 需 要 让 某 个 用 户 只 能 使 用 root 管理 员 的 身份 执行 指定 的 命令 ,切记 一 定 要 给 出 该 命令 
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的 绝对 路 径 ,否则 系统 会 识别 不 出 来 。 可 以 先 使 用 whereis 命令 找 出 命令 所 对 应 的 保存 路 
径 ,然后 把 配置 文件 第 93 行 的 用 户 权限 参数 修改 成 对 应 的 路 径 即 可 。 


在 编辑 好 后 依然 是 先 保存 再 退出 。 再 次 切换 到 指定 的 普通 用 户 ,然后 尝试 正常 查看 某 个 
文件 的 内 容 , 此 时 系统 提示 没有 权限 。 这 时 再 使 用 sudo 命令 就 可 以 顺利 地 查看 文件 内 容 了 。 


不 知 大 家 是 否 发 觉 在 每 次 执行 sudo 命令 后 都 会 要 求 验证 一 下 密码 。 虽 然 这 个 密码 就 
是 当前 登录 用 户 的 密码 ,但 是 每 次 执行 sudo 命令 都 要 输入 一 次 密码 其 实 也 挺 麻烦 的 ,这 时 
可 以 添加 NOPASSWD 参数 ,使 得 用 户 执行 sudo 命令 时 不 再 需要 密码 验证 。 


当 切 换 到 普通 用 户 后 再 执行 命令 时 ,就 不 用 再 频繁 地 验证 密码 了 ,这 样 在 日 常 工作 中 也 
就 方便 多 了 。 


> Ta 1< 
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[root@serverl ~ ] 关 mu -test 

上 一 次 登录 :日 5 月 6 06:08:20 Csr 2018pts/0 上 
[test@serverl ~ ]$poweroff 

User root is logged in on seat0. 

Please retry operation after closing inhibitors and logging cut other users. 
Altematively, ignore inhibitors and users with 'systemctl poweroff —i'. 
[test@serverl ~ ]$ sudo poweroff 


4.6 ”使 用 用 户 管理 器 管理 用 户 和 组 群 


默认 图 形 界面 的 用 户 管理 器 是 没有 安装 的 ,需要 安装 system-config-users 工具 。 
4.6.1 安装 system-config-users 工具 

(1) 检查 是 否 安装 system-config-users。 

[root@serverl ~ ]# rpm - ql grep system- config- users 


表示 没有 安装 system-config-users。 
(2) 如 果 没 有 安装 , 则 执行 以 下 操作 。 


如 果 能 够 连接 互联 网 ,并 且 有 较 高 网 速 , 则 可 以 直接 使 用 系统 自 带 的 yum 源 
SR 文件 ,不 需要 单独 编辑 yum 源 文件 。 这 时 请 直接 跳 到 * 回 使 用 yum 命令 查 
说 明 看 ……”, 忽 略 前 两 步 。 后 面 在 使 用 yum 安装 软件 时 也 依据 此 原则 ,不 再 黄 述 。 


另外 ,如 果 制 作 并 使 用 本 地 yum 安装 源 文件 ,比如 dvd. repo, 请 将 该 文件 所 
在 目录 的 其 他 repo 文件 改名 或 备份 后 再 删除 ,以 免 yum 源 文件 互相 影响 。 
Q@ 挂 载 ISO 安装 镜像 。 


// 挂 载 光盘 到 /iso 目 录 下 

[root@ serverl~ ]#mkdir /iso 

[root@ serverl~ ]#mount /dev/odron /iso 
mount: /dev/sr0 写 保护 ,将 以 只 读 方式 挂 载 


@ 制作 用 于 安装 的 yum 源 文件 。 


[root@ serverl~ ]# vim /etc/yum.repos.d/dvd.repo 


dvd. repo 文件 的 内 容 如 下 (后 面 不 再 歼 述 ) : 


# /etc/yum.repos.d/dvd.repo 

# or for CNLY the media repo, do this: 

#Yyum —— disablerepo=\* —- enablerepo= c6- media [cmmand] 
[dva] 

name= dvd 


# 特 别 注意 本 地 源 文件 的 表示 ,3 个 “ 放 
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@ 使 用 yum 命令 查看 system-config-users 软件 包 的 信息 ,如 图 4-1 所 示 。 


Lroot@rhel7-1 “~]# 
已 加 载 插 件 : Langpacl pr earc| sabled- repos, subscription- manager 
This system is not regigtered with 二 entitlement server. You can use Subscripti 
ye to Oar 
可 安装 的 软 
名 称 
架构 : noardl 
版 本 1.3.5 
发 布 : 2.et7 
大 小 :339 k 
源 :dvd 
简介 : A graphical interface for administering users and groups 
htp: Aor eposted: org/system config- users 
描述 : ee oh oo 二 a et utility for Brees rang 
: Users and 9! on the libuser Libral 


图 4-1 使 用 yum 命令 查看 system-config-users 软件 包 的 信息 
@ 使 用 yum 命令 安装 system-config-users。 


正常 安装 完成 后 ,最 后 的 提示 信息 是 : 


所 有 软件 包 安 装 完 毕 之 后 .可 以 使 用 rpm 命令 再 一 次 进行 查询 : rpm -qa | grep 


System-config-users。 


4.6.2 使 用 用 户 管理 器 


使 用 命令 system-config-users 会 打开 如 图 4-2 所 示 的 “用 户 管理 器 ”窗口 。 


第 4 章 用户 和 组 管理 国 


用 户 管理 器 2 


文件 (F) 编辑 (E) 帮助 (H) 


Ee 5 B 马 如 

加 用 月 攻 加 组 可 有 帮助 
搜索 过 滤器 (7) : @@ 应 用 过 小 器 (A) 

用 户 (s) 组 群 (o) 
用 户 名 。 用 户 Ip ~ 主 组 群 ”全 各 。 登录 Shell 。 主 目录 
yangyun 1000 yangyun yang yun /bin/bash /home/yangyun 
user2 1003 user2 /bin/bash /home/user2 
user3 1010 yangyun /bin/bash /home/user3 
userl 8833 userl /bin/bash var/userl 
test 8889 test /bin/bash /home/test 


图 4-2 “用 户 管理 器 "窗口 


使 用 "用 户 管理 器 "可 以 方便 地 添加 用 户 或 组 群 、 编 辑 用 户 或 组 群 的 属性 、 删 除 用 户 或 组 
群 , 加 入 或 退出 组 群 等 操作 。 图 形 界面 比较 简单 ,在 此 不 再 袭 述 。 不 过 提醒 读者 ,system- 
config 有 许多 其 他 应 用 ,大 家 可 以 试 着 安装 并 应 用 。 


4.7 使 用 常用 的 账户 管理 命令 


账户 管理 命令 可 以 在 非 图 形 化 操作 中 对 账户 进行 有 效 管理 。 


1. vipw 命令 

vipw 命令 用 于 直接 对 用 户 账户 文件 /etc/passwd 进行 编辑 ,使 用 的 默认 编辑 器 是 vi。 
在 对 /etc/passwd 文件 进行 编辑 时 将 自动 锁定 该 文件 ,编辑 结束 后 对 该 文件 进行 解锁 ,保证 
了 文件 的 一 致 性 。vipw 命令 在 功能 上 等 同 于 “vi /etc/passwd” 命 令 , 但 是 比 直接 使 用 vi 命 
令 更 安全 。 命 令 格式 如 下 : 


[root@serverl ~ ]#vipw 
2. vigr 命令 
vigr 命令 用 于 直接 对 组 群 文件 /etc/group 进行 编辑 。 在 用 vigr 命令 对 /etc/group 文件 


进行 编辑 时 将 自动 锁定 该 文件 ,编辑 结束 后 对 该 文件 进行 解锁 ,保证 了 文件 的 一 致 性 。vigr 
命令 在 功能 上 等 同 于 “vi /etc/group” 命 令 , 但 是 比 直接 使 用 vi 命令 更 安全 。 命 令 格式 如 下 : 


[root@serverl ~ J#vigr 


3. pwck 命令 
pwck 命令 用 于 验证 用 户 账户 文件 认证 信息 的 完整 性 。 该 命令 检测 /etc/passwd 文件 
和 /etc/shadow 文件 每 行 中 字段 的 格式 和 值 是 否 正确 。 命 令 格式 如 下 : 


[root@serverl ~ ]#pwck 
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4. grpck 命令 
grpck 命令 用 于 验证 组 群 文件 认证 信息 的 完整 性 。 该 命令 检测 /etc/group 文件 和 /etc/ 
gshadow 文件 每 行 中 字段 的 格式 和 值 是 否 正确 。 命 令 格式 如 下 


[root@ serverl ~ ]# grpck 
5. id 命令 


id 命令 用 于 显示 一 个 用 户 的 UID 和 GID 以 及 用 户 所 属 的 组 列表 。 在 命令 行 输入 id 直 
接 按 Enter 键 将 显示 当前 用 户 的 ID 信息。 命令 格式 如 下 : 


ia 渤 项 ] 用 户 名 
例如 ,显示 userl 用 户 的 UID、GID 信息 的 实例 如 下 : 


[root@serverl ~ ]#id userl 
uid= 8888 (userl) gid= 1002(userl) 组 =1002 (userl),0(root),1011 (testgroup) 


6. finger .chfn .chsh 命令 

使 用 finger 命令 可 以 查看 用 户 的 相关 信息 ,包括 用 户 的 主 目录 、 启 动 Shell ,用户 名 、 地 
址 .电话 等 存放 在 /etc/passwd 文件 中 的 记录 信息 。 管 理 员 和 其 他 用 户 都 可 以 用 finger 命令 
来 了 解 用 户 。 直 接 使 用 finger 命令 可 以 查看 当前 用 户 信息 。finger 命令 格式 及 实例 如 下 ( 需 
要 安装 软件 包 ) : 


finger [选项 ] 用 户 名 
[root@serverl ~ ]# yum install finger ~-y 
[root@ serverl ~ ]# finger 

root root ttyl 4 sp 114:2 
root root pts/0 sep 114:39 


finger 命令 常用 的 选项 及 说 明 如 表 4-11 所 示 。 
表 4-11 finger 命令 常用 的 选项 及 说 明 


选项 说 明 
-1 以 长 格式 显示 用 户 信息 ,这 是 默认 选项 
a 关闭 以 用 户 姓 名 查询 账户 的 功能 ,如 不 加 此 选项 ,用 户 可 以 用 一 个 用 户 的 姓名 来 查询 该 用 
户 的 信息 


-s 以 短 格式 查看 用 户 的 信息 
-Pp 不 显示 plan(plan 信息 是 用 户主 目录 下 的 . plan 等 文件 ) 


用 户 自己 可 以 使 用 chfn 和 chsh 命令 来 修改 finger 命令 显示 的 内 容 。chfn 命令 可 以 修 
改 用 户 的 办 公 地 址 ,办公 电话 和 住宅 电话 等 。chsh 命令 用 来 修改 用 户 的 启动 Shell。 用 户 在 
用 chfn 和 chsh 命令 修改 个 人 账户 信息 时 会 被 提示 输入 密码 。 例 如 : 


用 户 可 以 直接 输入 chsh 命令 或 使 用 -s 选项 来 指定 要 更 改 的 启动 Shell。 例 如 ,用 户 
userl 想 把 自己 的 启动 Shell 从 bash 改 为 tcsh, 可 以 使 用 以 下 两 种 方法 。 


7. whoami 命令 
whoami 命令 用 于 显示 当前 用 户 的 名 称 。whoami 与 命令 “id -un” 作 用 相同 。 


8. newgrp 命令 

newgrp 命令 用 于 转换 用 户 的 当前 组 到 指定 的 主 组 群 。 对 于 没有 设置 组 群 口令 的 组 群 账 
户 ,只 有 组 群 的 成 员 才 可 以 使 用 newgrp 命令 改变 主 组 群 身份 到 该 组 群 。 如 果 组 群 设置 了 口 
令 , 其 他 组 群 的 用 户 只 要 拥有 组 群 口令 ,也 可 以 将 主 组 群 身份 改变 到 该 组 群 。 应 用 实例 如 下 : 
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使 用 groups 命令 可 以 列 出 指定 用 户 的 组 群 。 例 如 : 


[root@serverl ~ ]#whoemi 
root 

[root@ serverl ~ ]#groups 
root groupl 


4.8 企业 实战 与 应 用 一 一 账号 管理 实例 


1. 情境 
假设 需要 的 账号 数据 如 表 4-12 所 示 ,该 如 何 操作 ? 
表 4-12 账号 数据 

账号 名 称 账号 全 名 支持 次 要 群 组 是 否 可 登录 主机 口令 
myuserl lst user mygroupl 可 以 Password 
myuser2 2nd user mygroupl 可 以 Password 
myuser3 3rd user 无 额外 支持 不 可 以 password 

2. 解决 方案 

解决 方案 对 应 的 代码 如 下 。 

# 先 处 理 账号 相关 属性 的 数据 

[root@ serverl ~ ]# groupecd mygroupl 


[root@ serverl ~ ]# useradd - G mygroupl - c "lst Usern myuserl 
[root@ serverl ~ ]# useradd - G mygroupl - c "2nd Usern myuser2 
[root@serverl ~ ]# useradd -~ c "3rd Usern - s /sbin/nologin myuser3 


# 再 处 理 账号 的 口令 相关 属性 的 数据 

[root@ serverl ~ ]# echo "password" | passwd -- stdin myuserl 
[root@ serverl ~ ]# echo "password" | passwd -- stdin myuser2 
[root@ serverl ~ ]# echo "password" | passwd -- stdin myuser3 


myuserl 与 myuser2 都 支持 次 要 群 组 ,但 该 群 组 不 一 定 存 在 ,因此 需要 先 手 
动 创建 。 再 者 ,myuser3 是 “不 可 登录 系统 ”的 账号 ,因此 需要 使 用 /sbin/nologin 
注 意 ”来 设置 ,这 样 该 账号 就 成 为 非 登 录 账户 了 。 


4.9 练习 题 


一 、 填空 题 
1. Linux 操作 系统 是 的 操作 系统 , 它 允 许多 个 用 户 同时 登录 到 系统 ,使 用 系统 
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2. Linux 系统 下 的 用 户 账户 分 为 两 种 : 和 

3. root 用 户 的 UID 为 ,普通 用 户 的 UID 可 以 在 创建 时 由 管理 员 指定 。 如 果 
不 指定 ,用 户 的 UID 默认 从 开始 按 顺序 编号 。 

4. 在 Linux 系统 中 ,创建 用 户 账户 的 同时 也 会 创建 一 个 与 用 户 同名 的 组 群 ,该 组 群 是 
用 户 的 。 普 通 组 群 的 GID 默认 也 从 开始 编号 。 

5. 一 个 用 户 账户 可 以 同时 是 多 个 组 群 的 成 员 , 其 中 某 个 组 群 是 该 用 户 的 ( 私 
有 组 群 ) ,其 他 组 群 为 该 用 户 的 (标准 组 群 ) 。 

6. 在 Linux 系统 中 ,所 创建 的 用 户 账户 及 其 相关 信息 (密码 除外 ) 均 放 在 配置 
交 件 中 。 

7. 由 于 所 有 用 户 对 /etc/passwd 文件 均 有 权限 ,为 了 增强 系统 的 安全 性 ,用 户 
经 过 加 密 之 后 的 口令 都 存放 在 文件 中 。 

8. 组 群 账户 的 信息 存放 在 文件 中 ,关于 组 群 管理 的 信息 (组 群 口令 、 组 群 管理 
员 等 ) 则 存放 在 文件 中 。 

二 、 选择 题 

1. 存放 用 户 密码 信息 的 目录 是 ( )。 

A. /etc B. /var C. /dev D. /boot 


2. 创建 用 户 ID 是 200、 组 ID 是 1000、 用 户主 目录 为 /home/user01 的 正确 命令 
是 ( )。 
A. useradd -u:200 -g:1000 -h:/home/user01 user01 
B. useradd -u=200 -g=1000 -d 一 /home/user01 user01 
C. useradd -u 200 -g 1000 -d /home/user0l user01 
D. useradd -u 200 -g 1000 -h /home/user01 user01 
3. 用 户 登 录 系统 后 首先 进入 ( ) 目 录 。 


A. /home B. /root 的 主 目录 
C. /usr D. 用 户 自己 的 家 目录 
4. 在 使 用 了 shadow 口令 的 系统 中 ,/etc/passwd 和 /etc/shadow 两 个 文件 的 权限 正确 
的 是 ( Ws 
A i RB -i 
Gi A D. -PW 
5. 可 以 删除 一 个 用 户 并 同时 删除 用 户 的 主 目录 的 参数 是 ( 2 
A. rmuser -r B. deluser -r C. userdel -r D. usermgr -r 


6. 系统 管理 员 应 该 采用 的 安全 措施 是 ( Xs 
A. 把 root 密码 告诉 每 一 位 用 户 
B. 设置 telnet 服务 来 提供 远程 系统 维护 
C. 经 常 检测 账户 数量 、 内 存 信息 和 磁盘 信息 
D. 当 员 工 辞 职 后 ,立即 删除 该 用 户 账户 
7. 在 /etc/group 中 有 一 行 students::600:z3,14,w5, 表 示 有 ( ) 用 户 在 student 


Wy B. 4 个 (让 D. 不 知道 
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8. 下 列 可 以 用 来 检测 用 户 lisa 的 信息 的 命令 是 ( 


A. finger lisa B. grep lisa /etc/passwd 
C. find lisa /etc/passwd D. who lisa 
4.10 项目 实录 : 管理 用 户 和 组 
1. 观看 视频 


做 实 训 前 请 扫描 二 维 码 观看 视频 。 

2. 项 目 实 训 目 的 及 内 容 

(1) 熟悉 Linux 用 户 的 访问 权限 。 

(2) 掌握 在 Linux 系统 中 增加 修改 、 删 除 用 户 或 用 户 组 的 方法 。 

(3) 掌握 用 户 账户 管理 及 安全 管理 的 方法 。 

3. 项 目 背 景 

某 公 司 有 60 个 员工 ,分 别 在 5 个 部 门 工作 ,每 个 人 的 工作 内 容 不 同 。 需 要 在 服务 器 上 
为 每 个 人 创建 不 同 的 账号 ,把 相同 部 门 的 用 户 放 在 一 个 组 中 ,每 个 用 户 都 有 自己 的 工作 目 
录 ,并 且 需 要 根据 工作 性 质 对 每 个 部 门 和 每 个 用 户 在 服务 器 上 的 可 用 空间 进行 限制 。 

4. 做 一 做 

根据 项 目 视频 进行 项 目的 实 训 , 检 查 学 习 效 果 。 
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第 5 章 
文件 系统 和 磁盘 管理 


作为 Linux 系统 的 网 络 管理 员 ,学 习 Linux 文件 系统 和 磁盘 管理 是 至 关 重 
要 的 。 本 章 主要 介绍 Linux 文件 系统 和 磁盘 管理 的 相关 内 容 。 


。 Linux 文件 系统 结构 和 文件 权限 管理 。 

。 Linux 下 的 磁盘 和 文件 系统 管理 工具 。 
。 Linux 下 的 软 RAID 和 LVM 逻辑 卷 管理 器 。 
。 磁盘 限额 。 


5.1 了 解 文件 系统 


文件 系统 (File System) 是 磁盘 上 有 特定 格式 的 一 片区 域 ,操作 系统 利 
用 文件 系统 保存 和 管理 文件 。 


5.1.1 认识 文件 系统 


用 户 在 硬件 存储 设备 中 执行 的 文件 建立 、 写 入 、 读 取 \ 修 改 、 转 存 与 控 
制 等 操作 都 是 依靠 文件 系统 来 完成 的 。 文 件 系统 的 作用 是 合理 规划 硬盘 ,以 保证 用 户 正常 
的 使 用 需求 。Linux 系统 支持 数 十 种 的 文件 系统 ,而 最 常见 的 文件 系统 如 下 。 

。 Ext3: 这 是 一 款 日 志文 件 系 统 ,能 够 在 系统 异常 宕 机 时 避免 文件 系统 资料 丢失 ,并 能 

自动 修复 数据 的 不 一 致 与 错误 。 然 而 , 当 硬 盘 容量 较 大 时 ,所 需 的 修复 时 间 也 会 很 
长 ,而 且 也 不 能 百分之百 地 保证 资料 不 会 丢失 。 它 会 把 整个 磁盘 的 每 个 写 信 动作 的 
细节 都 预先 记录 下 来 ,以 便 在 发 生 异 常 宕 机 后 能 回溯 追踪 到 被 中 断 的 部 分 ,然后 尝 
试 进行 修复 。 

。 Ext4: 这 是 Ext3 的 改进 版 本 。 作 为 RHEL 6 系统 中 的 默认 文件 管理 系统 , 它 支 持 的 
存储 容量 高 达 1EB(1EB 王 1073741824GB) , 且 能 够 有 无 限 多 的 子 目 录 。 另 外 ,Ext4 
文件 系统 能 够 批量 分 配 block 块 , 从 而 极 大 地 提高 了 读 写 效 率 。 

XFS: 这 是 一 种 高 性 能 的 日 志文 件 系统 ,而 且 是 CentOS 7 中 默认 的 文件 管理 系统 ， 
它 的 优势 在 发 生意 外 宕 机 后 尤其 明显 , 即 可 以 快速 地 恢复 可 能 被 破坏 的 文件 ,而 且 
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强大 的 日 志 功 能 只 用 花费 极 低 的 计算 和 存储 性 能 。 并 且 它 最 大 可 支持 的 存储 容量 
为 18EB, 这 几乎 满足 了 所 有 需求 。 

CentOS 7 系统 中 一 个 比较 大 的 变化 就 是 使 用 了 XFS 作为 文件 系统 ,XFS 文件 系统 可 
支持 高 达 18EB 的 存储 容量 。 

日 常 在 硬盘 需要 保存 的 数据 实在 太 多 了 ,因此 Linux 系统 中 有 一 个 名 为 super block 的 
“硬盘 地 图 ”。Linux 并 不 是 把 文件 内 容 直 接 写 入 到 这 个 “硬盘 地 图 ”里 面 ,而 是 在 里 面 记录 
着 整个 文件 系统 的 信息 。 因 为 如 果 把 所 有 的 文件 内 容 都 写 人 到 这 里 面 , 它 的 体积 将 变 得 非 
常 大 ,而 且 文 件 内 容 的 查询 与 写 人 速度 也 会 变 得 很 慢 。Linux 只 是 把 每 个 文件 的 权限 与 属 
性 记录 在 inode 中 ,而 且 每 个 文件 占用 一 个 独立 的 inode 表格 ,该 表格 的 大 小 默认 为 128 字 
节 , 里 面 记录 着 以 下 信息 。 

该 文件 的 访问 权限 (read、write .execute) ; 
该 文件 的 所 有 者 与 所 属 组 (owner、group); 
该 文件 的 大 小 (size); 

该 文件 的 创建 或 内 容 修改 时 间 (ctime); 
该 文件 的 最 后 一 次 访问 时 间 (atime); 

该 文件 的 修改 时 间 (mtime); 

文件 的 特殊 权限 (SUID、SGID、SBIT); 

。 该 文件 的 真实 数据 地 址 (point) 。 

而 文件 的 实际 内 容 则 保存 在 block 块 中 (大 小 可 以 是 1KB、2KB 或 4KB), 一 个 inode 的 
默认 大 小 仅 为 128B(Ext3) ,记录 一 个 block 则 消耗 4B。 当 文件 的 inode 被 写 满 后 ,Linux 系 
统 会 自动 分 配 出 一 个 block 块 ,专门 用 于 像 inode 那样 记录 其 他 block 块 的 信息 ,这样 把 各 个 
block 块 的 内 容 串 到 一 起 ,就 能 够 让 用 户 读 到 完整 的 文件 内 容 了 。 对 于 存储 文件 内 容 的 
block 块 ,有 下 面 两 种 常见 情况 (以 4KB 的 block 大 小 为 例 进行 说 明 )。 

情况 1: 文件 很 小 (1KB) ,但 依然 会 占用 一 个 block, 因 此 会 潜在 地 浪费 3KB。 

情况 2: 文件 很 大 (5KB) ,那么 会 占用 两 个 block(5KB 一 4KB 后 剩 下 的 1KB 也 要 占用 一 
个 block) 。 

计算 机 系统 在 发 展 过 程 中 产生 了 众多 的 文件 系统 ,为 了 使 用 户 在 读 取 或 写 入 文件 时 
不 用 关心 底层 的 硬盘 结构 ,Linux 内 核 中 的 软件 层 为 用 户 程 序 提供 了 一 个 VFS( Virtual 
File System, 虚拟 文件 系统 ) 接 口 ,这 样 用 户 实际 上 在 操作 文件 时 就 是 统一 对 这 个 虚拟 文 
件 系统 进行 操作 了 。 图 5-1 所 示 为 VFS 的 架构 示意 图 。 从 图 中 可 见 ,实际 文件 系统 在 
VFS 下 隐藏 了 自己 的 特性 和 细节 ,这 样 用 户 在 日 常 使 用 时 会 觉得 “文件 系统 都 是 一 样 的 ”， 
也 就 可 以 随意 使 用 各 种 命令 在 任何 文件 系统 中 进行 各 种 操作 了 (比如 使 用 cp 命令 来 复制 
文件 )。 


5.1.2 理解 Linux 文件 系统 的 目录 结构 


在 Linux 系统 中 ,目录 、 字 符 设备 , 块 设 备 、 套 接 字 、 打 印 机 等 都 被 抽象 成 了 文件 : Linux 
系统 中 一 切 都 是 文件 。 既 然 平 时 打交道 的 都 是 文件 ,那么 又 该 如 何 找到 它们 呢 ? 在 
Windows 操作 系统 中 , 想 要 找到 一 个 文件 ,首先 要 依次 进入 该 文件 所 在 的 磁盘 分 区 (假设 这 
里 是 D 盘 ) ,然后 再 进入 该 分 区 下 的 具体 目录 ,最 终 找到 这 个 文件 。 但 是 在 Linux 系统 中 并 
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用 户 界面 


虚拟 文件 系统 (VFS) 


内 核 


! | 
1 1 
1 1 
1 1 
1 1 
1 1 
1 1 
1 
| 1 
1 
| [LExe Ex4 T XFS [NTFS [DosFS[ minix | 
| 1 
| 
! | 
1 1 
1 1 
| 1 
1 
| 1 
| 1 


上 
| 磁盘 设备 控制 器 | | 硬件 层 
上 1 


图 5-1 VFS 的 架构 示意 图 


不 存在 C.D、E.\F 等 盘 符 ,Linux 系统 中 的 一 切 文件 都 是 从 * 根 (/) "目录 开始 的 ,并 按照 文件 系 
统 层 次 化 标准 (FHS) 采 用 树 形 结构 来 存放 文件 ,以 及 定义 了 常见 目录 的 用 途 。 另 外 ,Linux 系 
统 中 的 文件 和 目录 名 称 是 严格 区 分 大 小 写 的 。 例 如 ,root、rOOt、Root、rooT 均 代 表 不 同 的 目 
录 , 并 且 文 件 名 称 中 不 得 包含 斜 杠 (/)。Linux 系统 中 的 文件 存储 结构 如 图 5-2 所 示 。 


根 目 录 / 


/lroot /bin /boot /dev /ete /home /var /lib /usr /media /tmp 


/root/Desktop /root/Media a /usr/bin /usr/lib 


图 5-2 Linux 系统 中 的 文件 存储 结构 


在 Linux 系统 中 最 常见 的 目录 名 称 以 及 所 对 应 的 存放 内 容 如 表 5-1 所 示 。 


表 5-1 Linux 系统 中 最 常见 的 目录 名 称 以 及 所 对 应 的 存放 内 容 


目录 名 称 应 放置 文件 的 内 容 
/ Linux 文 件 的 最 上 层 根 目录 
/boot 开机 所 需 文件 一 一 内 核 、 开 机 菜单 以 及 所 需 配 置 文件 等 
/dev 以 文件 的 形式 存放 任何 设备 与 接口 
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续 表 
目录 名 称 应 放置 文件 的 内 容 
/etc 配置 文件 
/home 用 户 家 目录 
/bin Binary 的 缩写 ,存放 用 户 的 可 运行 程序 ,如 ls、cp 等 ;也 包含 其 他 Shell, 如 bash 和 cs 等 
/lib 开机 时 用 到 的 函数 库 , 以 及 /bin 与 /sbin 下 面 的 命令 要 调用 的 函数 
/sbin 开机 过 程 中 需要 的 命令 
/media 用 于 挂 载 设备 文件 的 目录 
/opt 放置 第 三 方 的 软件 
/root 系统 管理 员 的 家 目录 
/srv 一 些 网 络 服务 的 数据 文件 目录 
/tmp 任何 人 均 可 使 用 的 “共享 "临时 目录 
/proc 虚拟 文件 系统 ,例如 系统 内 核 .进程 . 外 部 设备 及 网 络 状 态 等 
/usr/local 用 户 自行 安装 的 软件 
/usr/sbin Linux 系统 开机 时 不 会 使 用 到 的 软件 、 命 令 、 脚 本 
/usr/share 帮助 与 说 明文 件 ,也 可 放置 共享 文件 
/var 主要 存放 经 常 变 化 的 文件 ,如 日 志 
/lost 二 found | 当 文件 系统 发 生 错 误 时 ,将 一 些 丢 失 的 文件 片段 存放 在 这 里 


5.1.3 理解 绝对 路 径 与 相对 路 径 


(1) 绝对 路 径 : 由 根 目录 (/) 开 始 写 起 的 文件 名 或 目录 名 称 , 例 如 ,/home/dmtsai/basher。 
(2) 相对 路 径 : 相对 于 目前 路 径 的 文件 名 写法 ,例如 ,. /home/dmtsai 或 ../../home/ 


dmtsai/ 等 。 


Y 


说 明 


开头 不 是 “/” 的 就 属于 相对 路 径 的 写法 。 


相对 路 径 是 以 当前 所 在 路 径 的 相对 位 置 来 表示 的 。 举 例 来 说 ,目前 在 /home 这 个 目录 
下 ,如 果 想 要 进入 /var/log 这 个 目录 时 ,可 以 怎么 写 呢 ? 有 以 下 两 种 方法 。 

@ cd /var/log( 绝 对 路 径 ) 

@ cd ../var/log( 相 对 路 径 ) 

因为 目前 在 /home 下 ,所 以 要 回 到 上 一 层 (../) 之 后 ,才能 进入 /var/log 目录 。 特 别 注意 
两 个 特殊 的 目录 。 

。“.”: 代表 当前 的 目录 ,也 可 以 使 用 “. /” 来 表示 。 
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。“..”: 代表 上 一 层 目 录 , 也 可 以 用 “../” 来 代表 。 
“. ”和 *..” 目 录 的 概念 是 很 重要 的 ,常常 看 到 的 cd.. 或 . /command 之 类 的 指令 表达 方式 
就 是 代表 上 一 层 与 目前 所 在 目录 的 工作 状态 。 


5.1.4 Linux 文件 权限 管理 


1. 文件 和 文件 权限 概述 

文件 是 操作 系统 用 来 存储 信息 的 基本 结构 ,是 一 组 信息 的 集合 。 文 件 通 过 文件 名 来 唯 
一 标识 。Linux 中 的 文件 名 称 最 长 允许 255 个 字符 ,这 些 字符 可 用 “A~Z、0~9、. 、_、-” 等 符 
号 表示 。 与 其 他 操作 系统 相 比 ,Linux 没有 “扩展 名 ”的 概念 ,也 就 是 说 文件 的 名 称 和 该 文件 
的 种 类 并 没有 直接 的 关联 ,例如 sample. txt 可 能 是 一 个 运行 文件 ,而 sample. exe 也 有 可 能 
是 文本 文件 ,甚至 可 以 不 使 用 扩展 名 。Linux 的 另 一 个 特性 是 文件 名 区 分 大 小 写 。 例 如 ， 
sample. txt\Sample. txt\SAMPLE. txt、samplE. txt 在 Linux 系统 中 代表 不 同 的 文件 ,但 在 
DOS 和 Windows 平台 却 是 指 同一 个 文件 。 在 Linux 系统 中 ,如 果 文 件 名 以 “. ”开始 ,表示 该 
文件 为 隐藏 文件 ,需要 使 用 ls -a 命令 才能 显示 。 

在 Linux 中 的 每 一 个 文件 或 目录 都 包含 访问 权限 ,这 些 访问 权限 决定 了 谁 能 访问 和 如 
何 访问 这 些 文件 和 目录 。 

通过 设 定 权 限 可 以 用 以 下 3 种 访问 方式 限制 访问 权限 : 只 允许 用 户 自己 访问 ;允许 一 
个 预先 指定 的 用 户 组 中 的 用 户 访问 ;允许 系统 中 的 任何 用 户 访 问 。 同 时 ,用 户 能 够 控制 一 个 
给 定 的 文件 或 目录 的 访问 程度 。 一 个 文件 或 目录 可 能 有 读 、 写 及 执行 权限 。 当 创建 一 个 文 
件 时 ,系统 会 自动 赋予 文件 所 有 者 读 和 写 的 权限 ,这样 可 以 允许 文件 所 有 者 查看 文件 内 容 和 
修改 文件 。 文 件 所 有 者 可 以 将 这 些 权 限 改变 为 任何 他 想 指 定 的 权限 。 文 件 也 许 只 有 读 权 
限 , 禁 止 任何 修改 。 文 件 也 可 能 只 有 执行 权限 ,允许 它 像 一 个 程序 一 样 执行 。 

3 种 不 同 的 用 户 类 型 能 够 访问 一 个 目录 或 者 文件 : 所 有 者 .用户 组 或 其 他 用 户 。 所 有 者 
是 创建 文件 的 用 户 ,文件 的 所 有 者 能 够 授予 所 在 用 户 组 的 其 他 成 员 及 系统 中 除 所属 组 之 外 
的 其 他 用 户 的 文件 访问 权限 。 

每 一 个 用 户 针对 系统 中 的 所 有 文件 都 有 它 自身 的 读 、 写 和 执行 权限 。 第 一 套 权 限 控制 
访问 自己 的 文件 权限 , 即 所 有 者 权限 。 第 二 套 权 限 控制 用 户 组 访问 其 中 一 个 用 户 的 文件 的 
权限 。 第 三 套 权 限 控 制 其 他 所 有 用 户 访问 一 个 用 户 的 文件 的 权限 ,这 3 套 权 限 赋予 用 户 不 
同类 型 ( 即 所 有 者 、 用 户 组 和 其 他 用 户 ) 的 读 、 写 及 执行 权限 ,就 构成 了 一 个 有 9 种 类 型 的 权 
限 组 。 

可 以 用 1s -1 或 者 11 命令 显示 文件 的 详细 信息 ,其 中 包括 权限 ,内容 如 下 所 示 。 


total 84 

drwxr— xr-X 2 rot Ioot 4096 Mg 9 15:03 Desktop 

-IWwIr--r-- 1 root root 1421 mg 9 14:15 anaconda- ks.cfg 
rn ek et Mg 9 14:09 firstboot.1186639760.25 
-Mr 1 root roct 45592 ha 9 14:15 install.log 
-IWwIr--r- 1 root root 607 Mg 9 14:15 install.log.syslog 
Grwar- xr-x 2 root Ioot 409%6 Sep 1 13:54 webmin 


117 


国 ”Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


在 上 面 的 显示 结果 中 从 第 二 行 开 始 ,每 一 行 的 第 一 个 字符 一 般 用 来 区 分 文件 的 类 型 ,一 
般 取 值 为 d、-、1.b、c、s.p。 具 体 含义 如 下 。 

。 d: 表示 是 一 个 目录 ,在 ext 文件 系统 中 目录 也 是 一 种 特殊 的 文件 。 

。 -: 表示 该 文件 是 一 个 普通 的 文件 。 

。 1: 表示 该 文件 是 一 个 符号 链接 文件 .实际 上 它 指 向 另 一 个 文件 。 

。 bc: 分 别 表 示 该 文件 为 区 块 设备 或 其 他 的 外 围 设备 ,是 特殊 类 型 的 文件 。 

。 s、p: 分 别 表 示 这 些 文件 关系 到 系统 的 数据 结构 和 管道 ,通常 很 少见 到 。 

下 面 详 细 介 绍 权限 的 种 类 和 设置 权限 的 方法 。 


2. 一 般 权 限 

在 11 命令 的 显示 结果 中 ,左边 一 栏 每 一 行 的 第 2 一 10 个 字符 表示 文件 的 访问 权限 。 这 
9 个 字符 每 3 个 为 一 组 ,左边 3 个 字符 表示 所 有 者 权限 ,中 间 3 个 字符 表示 与 所 有 者 同一 组 
的 用 户 的 权限 ,右边 3 个 字符 是 其 他 用 户 的 权限 。 

(1) 9 个 字符 的 意义 

。 字符 2.3、4 表示 该 文件 所 有 者 的 权限 ,有 时 也 简称 为 uCuser) 的 权限 。 

。 字符 5.6、7 表示 该 文件 所 有 者 所 属 组 的 组 成 员 的 权限 。 例 如 ,此 文件 拥有 者 属于 
user 组 群 ,该 组 群 中 有 6 个 成 员 , 表 示 这 6 个 成 员 都 有 此 处 指定 的 权限 。 简 称 为 g 
(group) 的 权限 。 

。 字符 8,9、10 表示 该 文件 所 有 者 所 属 组 群 以 外 的 权限 ,简称 为 o(other) 的 权限 。 

(2) 9 个 字符 的 权限 种 类 

r(read, 读 取 ): 对 文件 而 言 ,具有 读 取 文 件 内 容 的 权限 ;对 目录 来 说 ,具有 浏览 目录 
的 权限 。 

w(write, 写 入): 对 文件 而 言 ,具有 新 增 、 修 改 文件 内 容 的 权限 ;对 目录 来 说 ,具有 删 
除 , 移 动 目录 内 文件 的 权限 。 

x(execute, 执 行 ): 对 文件 而 言 ,具有 执行 文件 的 权限 ;对 目录 来 说 ,具有 进入 目录 的 权限 。 


“-” 表 示 不 具有 该 项 权限 。 


消 
ll 


下 面 举例 说 明 不 同文 件 的 权限 。 

。 brwxr 一 r 一 : 该 文件 是 块 设备 文件 ,文件 所 有 者 具有 读 、 写 与 执行 的 权限 ,其 他 用 户 
则 有 具有 读 取 的 权限 。 

。 -rw-rw-r-x: 该 文件 是 普通 文件 ,文件 所 有 者 与 同 组 用 户 对 文件 具有 读 写 的 权限 ,而 
其 他 用 户 仅 具有 读 取 和 执行 的 权限 。 

。 drwx--x 一 x: 该 文件 是 目录 文件 ,目录 所 有 者 具有 读 写 与 进入 目录 的 权限 ,其 他 用 户 
能 进入 该 目录 , 却 无 法 读 取 任 何 数据 。 

。 lrwxrwxrwx: 该 文件 是 符号 链接 文件 ,文件 所 有 者 、 同 组 用 户 和 其 他 用 户 对 该 文件 
都 具有 读 、 写 和 执行 权限 。 

每 个 用 户 都 拥有 自己 的 主 目录 ,通常 在 /home 目录 下 ,这 些 主 目录 的 默认 权限 为 
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rwx 一 一 。 执 行 mkdir 命令 所 创建 的 目录 ,其 默认 权限 为 rwxr-xr-x, 用 户 可 以 根据 需要 修改 
目录 的 权限 。 

此 外 ,默认 的 权限 可 用 umask 命令 修改 ,用 法 非常 简单 ,只 须 执行 umask 777 命令 , 便 代 
表 屏 蔽 所 有 的 权限 ,因而 之 后 建立 的 文件 或 目录 ,其 权限 都 变 成 000, 以 此 类 推 。 通 常 root 
账号 搭配 umask 命令 的 数值 为 022.027 和 077 ,普通 用 户 则 是 采用 002, 这 样 所 产生 的 默认 
权限 依次 为 755、750、700、775。 有 关 权 限 的 数字 表示 法 后 面 将 会 详细 说 明 。 

用 户 登录 系统 时 ,用 户 环 境 就 会 自动 执行 rmask 命令 来 决定 文件 .目录 的 默认 权限 。 


3. 特殊 权限 

文件 与 目录 设置 还 有 特殊 权限 。 由 于 特殊 权限 会 拥有 一 些 “ 特 权 ”, 因 而 用 户 若 无 特殊 
需求 ,不 应 该 启用 这 些 权限 ,避免 安全 方面 出 现 严重 漏洞 ,造成 黑客 人 侵 ,甚至 摧毁 系统 。 

(1) s 或 SCSUID,Set UID) 

可 执行 的 文件 搭配 这 个 权限 便 能 得 到 特权 。 请 注意 ,具备 SUID 权限 的 文件 ,黑客 会 经 
常 利用 这 种 权限 ,以 SUID 配 上 root 账号 拥有 者 ,无 声 无 息 地 在 系统 中 开 个 “后 门 ”, 供 日 后 
进出 使 用 。 

(2) s 或 SCSGID,Set GID) 

设置 在 文件 上 面 ,其 效果 与 SUID 相同 ,只 不 过 将 文件 所 有 者 换 成 用 户 组 ,该 文件 就 可 
以 任意 存 取 整个 用 户 组 所 能 使 用 的 系统 资源 。 

(3) 工 或 TCSticky) 

/tmp 和 /var/tmp 目录 供 所 有 用 户 暂 时 存 取 文 件 , 即 每 位 用 户 皆 拥有 完整 的 权限 进入 
该 目录 ,去 浏览 .删除 和 移动 文件 。 

因为 SUID .SGID ,Sticky 占用 x 的 位 置 来 表示 ,所 以 在 表示 上 会 有 大 小 写 之 分 。 假 如 
同时 开启 执行 权限 和 SUID、SGID ,Sticky, 则 权限 表示 字符 是 小 写 


— zwsr- sr-t 1 root root 4096 6 月 23 08: 17 conf 

如 果 关 闭 执行 权限 , 则 权限 表示 字符 是 大 写 : 

-rwSr- Sr-T 1 root root 4096 6 月 23 08: 17 conf 

4. 文件 权限 修改 

在 文件 建立 时 系统 会 自动 设置 权限 ,如 果 这 些 默 认 权 限 无 法 满足 需要 ,可 以 使 用 chmod 
命令 来 修改 权限 。 通 常 在 权限 修改 时 可 以 用 两 种 方式 来 表示 权限 类 型 : 数字 表示 法 和 文字 


表示 法 。 
chmod 命令 的 格式 是 : 


chmd 选 项 文件 


(1) 以 数字 表示 法 修改 权限 
数字 表示 法 是 指 将 读 取 (r)、 写 入 (w) 和 执行 (x) 分 别 以 4、2、1 的 形式 表示 ,没有 授予 的 
部 分 就 表示 为 0, 然 后 再 把 所 授予 的 权限 相 加 而 成 。 表 5-2 所 示 的 是 几 个 示范 的 例子 。 
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表 5-2 以 数字 表示 法 修改 权限 的 例子 


原始 权限 转换 为 数字 数字 表示 法 
IWXIWXI-X (421) (421) (401) 775 
TWXI-XI-X (421) (401) (401) 755 
IW-IW-I— (420) (420) (400) 664 
PR (420) (400) (400) 644 


例如 ,为 文件 /yy/file 设置 权限 ,赋予 拥有 者 和 组 群 成 员 读 取 和 写 人 的 权限 ,而 其 他 人 只 
有 读 取 权限 。 应 该 将 权限 设 为 rw-rw-r 一 ,而 该 权限 的 数字 表示 法 为 664, 因 此 可 以 输入 下 面 
的 命令 来 设置 权限 。 


[root@serverl ~ ]#mkdir /yy 

[root@serverl ~ ]#0d /yy 

[root@ serverl yy]#touch file 

[root@serverl yy]# chmod 664 file 

[root@serverl yy]# 1 

总 用 量 0 

-zwrr--r-.1lrootroot010 月 321:43 file 


(2) 以 文字 表示 法 修改 访问 权限 

使 用 权限 的 文字 表示 法 时 ,系统 用 4 种 字母 来 表示 不 同 的 用 户 。 
。 u: 即 user, 表 示 所 有 者 。 

。 g: 即 group, 表 示 属 组 。 

。 0: 即 others, 表 示 其 他 用 户 。 

。 a: 即 all, 表 示 以 上 3 种 用 户 。 

操作 权限 使 用 下 面 3 种 字符 的 组 合 表示 法 。 

。r: 即 read, 读 取 。 

。w: 即 write, 写 人。 

。x: 即 execute, 执 行 。 

操作 符号 包括 以 下 几 种 类 型 。 

。 十 : 添加 某 种 权限 。 

。 一 : 减 去 某 种 权限 。 

。 二 : 赋予 给 定 权限 并 取消 原来 的 权限 。 

以 文字 表示 法 修改 文件 权限 时 ,上 例 中 的 权限 设置 命令 应 该 为 : 


[root@server] yy]# dmod we rwg= Iw,o=r /yy/file 


修改 目录 权限 和 修改 文件 权限 相同 ,都 是 使 用 chmod 命令 。 但 不 同 的 是 ,要 使 用 通 配 
符 " x* ”来 表示 目录 中 的 所 有 文件 。 
例如 ,要 同时 将 /yy 目录 中 的 所 有 文件 权限 设置 为 所 有 人 都 可 读 取 及 写 人 ,应 该 使 用 下 


面 的 命令 。 


如 果 目 录 中 包含 其 他 子 目 录 , 则 必须 使 用 -RCRecursive) 参 数 来 同时 设置 所 有 文件 及 子 
目录 的 权限 。 

利用 chmod 命令 也 可 以 修改 文件 的 特殊 权限 。 

例如 ,要 设置 /yy/file 文件 的 SUID 权限 的 方法 为 : 


特殊 权限 也 可 以 采用 数字 表示 法 。SUID、SGID 和 Sticky 权限 分 别 为 4.2 和 1。 使 用 
chmod 命令 设置 文件 权限 时 ,可 以 在 普通 权限 的 数字 前 面 加 上 一 位 数字 来 表示 特殊 权限 。 


5. 文件 所 有 者 与 属 组 修改 
要 修改 文件 的 所 有 者 可 以 使 用 chown 命令 。chown 命令 格式 如 下 : 


用 户 和 属 组 可 以 是 名 称 也 可 以 是 UID 或 GID。 多 个 文件 之 间 用 空格 分 隔 。 
例如 ,要 把 /yy/file 文件 的 所 有 者 修改 为 test 用 户 , 命 令 如 下 : 


chown 命令 可 以 同时 修改 文件 的 所 有 者 和 属 组 ,用 “: ”分隔 。 
例如 ,将 /yy/file 文件 的 所 有 者 和 属 组 都 改 为 test 用 户 , 命 令 如 下 : 


如 果 只 修改 文件 的 属 组 ,可 以 使 用 下 列 命 令 。 
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[root@ serverl yy]# chom :test /yy/file 
修改 文件 的 属 组 也 可 以 使 用 chgrp 命令 。 


[rooteserverl yy]# chgrp test /yy/file 


5.2 管理 磁盘 


在 Linux 系统 安装 时 ,其 中 有 一 个 步骤 是 进行 磁盘 分 区 。 可 以 采用 Disk Druid、RAID 
和 LVM 等 方式 进行 分 区 。 除 此 之 外 ,在 Linux 系统 中 还 有 fdisk .cfdisk .parted 等 分 区 工 
具 。 本 节 将 介绍 几 种 常见 的 磁盘 管理 相关 内 容 。 


5.2.1 常用 的 磁盘 管理 工具 


应 由 于 读者 的 计算 机 的 分 区 状况 各 不 相同 ,显示 的 信息 也 不 尽 相同 ,后 面 的 图 


提示 形 显 示 只 作 参 考 。 读 者 应 根据 自己 计算 机 的 磁盘 情况 进行 练习 。 


1. fdisk 

fdisk 磁盘 分 区 工具 在 DOS、Windows 和 Linux 中 都 有 相应 的 应 用 程序 。 在 Linux 系统 
中 ,fdisk 是 基于 菜单 的 命令 。 用 fdisk 对 硬盘 进行 分 区 ,可 以 在 fdisk 命令 后 面 直接 加 上 要 
分 区 的 硬盘 作为 参数 。 例 如 ,对 第 二 块 SCSI 硬盘 进行 分 区 操作 。 


[root@serverl ~ ]# fisk /dev/scb 
Cormand (m for help): 


在 Command 提示 后 面 输 入 相应 的 命令 来 选择 需要 的 操作 ,输入 m 命令 是 列 出 所 有 可 
用 命令 。 表 5-3 所 示 的 是 fdisk 命令 选项 及 其 功能 。 
表 5-3 fdisk 命令 选项 及 其 功能 


命令 选项 功 能 命令 选项 功 能 
a 调整 硬盘 启动 分 区 q 不 保存 更 改 , 退 出 fdisk 命令 
d 删除 硬盘 分 区 更 改 分 区 类 型 
1 列 出 所 有 支持 的 分 区 类 型 u 切换 所 显示 的 分 区 大 小 的 单位 
m 列 出 所 有 命令 w 把 修改 写 入 硬盘 分 区 表 ,然后 退出 
n 创建 新 分 区 x 列 出 高 级 选项 
P 列 出 硬盘 分 区 表 


在 前 面 的 安装 部 分 ,我 们 对 硬盘 分 区 时 , 预 留 了 部 分 未 分 区 空间 ,下 面 将 会 用 到 。 
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(1) 查阅 磁盘 分 区 


(2) 删除 磁盘 分 区 
下 面 在 /dev/sda 上 进行 分 区 。 通 过 几 个 实例 进行 说 明 。 
中 运行 fdisk。 


@ 查看 整个 分 区 表 的 情况 。 


@ 使 用 d 删除 分 区 。 


(3) 练习 新 增 磁盘 分 区 

新 增 磁盘 分 区 有 多 种 情况 ,因为 新 增 Primary/Extended/Logical 磁盘 分 区 的 显示 结果 
都 不 大 相同 。 下 面 先 将 /dev/sda 全 部 删除 成 为 干净 未 分 区 的 磁盘 ,然后 依次 新 增 。 

中 运行 fdisk 来 删除 所 有 分 区 。 


@ 先 新 增 一 个 Primary 分 区 , 且 指 定 为 4 号 分 区 。 


@ 继续 新 增 一 个 分 区 ,这 次 新 增 Extended 分 区 。 
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@ 随便 新 增 一 个 2GB 的 分 区 。 


(4) 分 区 实 训 训练 
请 依照 你 的 系统 情况 创建 一 个 大 约 1GB 的 分 区 ,并 显示 该 分 区 的 相关 信息 。 前 面 讲 
过 /dev/sda 尚 有 剩余 磁 柱 号 码 , 因 此 可 以 有 如 下 操作 。 


2. mkfs 

硬盘 分 区 后 ,下 一 步 的 工作 就 是 建立 文件 系统 。 类 似 于 Windows 下 的 格式 化 硬盘 ,在 
硬盘 分 区 上 建立 文件 系统 会 冲 掉 分 区 上 的 数据 ,而 且 不 可 恢复 ,因此 在 建立 文件 系统 之 前 要 
确认 分 区 上 的 数据 不 再 使 用 。 建 立 文件 系统 的 命令 是 mkfs, 其 格式 如 下 : 
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mkfs [参数 ] 文件 系统 


mkfs 命令 常用 的 参数 选项 如 下 。 

。 -t: 指定 要 创建 的 文件 系统 类 型 。 

。-c: 建立 文件 系统 前 首先 检查 坏 块 。 

。 -lfile: 从 文件 file 中 读 磁 盘 坏 块 列表 ,file 文件 一 般 是 由 磁盘 坏 块 检查 程序 产生 的 。 

。-V: 输出 建立 文件 系统 的 详细 信息 。 

例如 ,在 /dev/sdbl 上 建立 ext3 类 型 的 文件 系统 ,建立 时 检查 磁盘 坏 块 并 显示 详细 信 
息 ,命令 如 下 : 


[root@serverl ~ ]#mkfs -t ext3 -V -c /dev/sdbl 


3. fsck 
fsck 命令 主要 用 于 检查 文件 系统 的 正确 性 ,并 对 Linux 磁盘 进行 修复 。fsck 命令 的 格 
式 如 下 : 


fsck [参数 选项 ] 文件 系统 


fsck 命令 常用 的 参数 选项 如 下 。 

。 -t: 给 定 文件 系统 类 型 , 若 在 /etc/fstab 中 已 有 定义 或 Kernel 本 身 已 支持 , 则 不 需 添 
加 此 项 。 

。 -s: 一 个 一 个 地 执行 fsck 命令 并 进行 检查 。 

。 -A: 对 /etc/fstab 文件 中 所 有 列 出 来 的 分 区 进行 检查 。 

。-C: 显示 完整 的 检查 进度 。 

。-d: 列 出 fsck 命令 的 debug 结果 。 

。 -P: 在 同时 有 -A 选项 时 ,多 个 fsck 的 检查 一 起 执行 。 

。 -a: 如 果 检 查 中 发 现 错误 , 则 自动 修复 。 

。 -r: 如 果 检 查 有 错误 , 则 询问 是 否 修复 。 

例如 ,检查 分 区 /dev/sdbl 上 是 否 有 错误 ,如果 有 错误 则 自动 修复 。 命 令 程序 如 下 : 


[root@serverl ~ ]# fsck -a /dev/sdbl 
fsck 1.35 (28- Feb- 2004) 
/dev/sdbl: clean, 11/26104 files, 8966/104388 blocks 


4. df 

df 命令 用 来 查看 文件 系统 的 磁盘 空间 占用 情况 。 可 以 利用 该 命令 来 获取 硬盘 被 占用 了 
多 少 空间 ,目前 还 有 多 少 空间 信息 ,还 可 以 利用 该 命令 获得 文件 系统 的 挂 载 位 置 。 

df 命令 格式 如 下 : 


df 湖 数 选项 ] 


df 命令 的 常见 参数 选项 如 下 。 

。，-a: 显示 所 有 文件 系统 的 磁盘 使 用 情况 ,包括 0 块 的 文件 系统 ,如 /proc 文件 系统 。 
。-k: 以 k 字 节 为 单位 显示 。 

-i: 显示 i 节点 信息 。 

。-t: 显示 各 指定 类 型 的 文件 系统 的 磁盘 空间 使 用 情况 。 

。，-x: 列 出 不 是 某 一 指定 类 型 文件 系统 的 磁盘 空间 使 用 情况 (与 选项 相反 ) 。 

-T: 显示 文件 系统 类 型 。 

例如 , 列 出 各 文件 系统 的 占用 情况 。 


列 出 各 文件 系统 的 i 节点 的 使 用 情况 。 


列 出 文件 系统 的 类 型 。 


5. du 


du 命令 用 于 显示 磁盘 空间 的 使 用 情况 。 该 命令 逐 级 显示 指定 目录 的 每 一 级 子 目录 占 


用 文件 系统 数据 块 的 情况 。du 命令 语法 如 下 : 


du 命令 的 参数 选项 如 下 。 

。 -s: 对 每 个 name 参数 只 给 出 占用 的 数据 块 总 数 。 

。 -a: 递归 显示 指定 目录 中 各 文件 以 及 子 目 录 中 各 文件 占用 的 数据 块 数 。 

。 -b: 以 字 节 为 单位 列 出 磁盘 空间 使 用 情况 (Advanced Server 4. 0 中 默认 以 KB 为 
单位 ) 。 
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。 飞 : 以 1024B 为 单位 列 出 磁盘 空间 使 用 情况 。 

。 -c: 在 统计 后 加 上 一 个 总 计 ( 系 统 默 认 设置 ) 。 

。 -1: 计算 所 有 文件 大 小 ,对 硬 链 接 文件 重复 计算 。 

。 -x: 跳 过 在 不 同文 件 系 统 上 的 目录 ,不 子 统 计 。 

例如 ,以 字 节 为 单位 列 出 所 有 文件 和 目录 的 磁盘 空间 占用 情况 。 命 令 如 下 : 


[rooteserverl ~ ]#di -ab 


6. mount 与 umount 

(1) mount 

在 磁盘 上 建立 好 文件 系统 之 后 ,还 需要 把 新 建立 的 文件 系统 挂 载 到 系统 上 才能 使 用 ,这 
个 过 程 称 为 挂 载 ,文件 系统 所 挂 载 到 的 目录 称 为 挂 载 点 (mount point)。Linux 系统 中 提供 
了 /mnt 和 /media 两 个 专门 的 挂 载 点 。 一 般 而 言 , 挂 载 点 应 该 是 一 个 空 目录 ,否则 目录 中 原 
来 的 文件 将 被 系统 隐藏 。 通 常 将 光盘 挂 载 到 /media/cdrom( 或 者 /mnt/cdrom) 中 ,其 对 应 的 
设备 文件 名 为 /dev/cdrom。 

文件 系统 的 挂 载 可 以 在 系统 引导 过 程 中 自动 挂 载 , 也 可 以 手动 挂 载 。 手 动 挂 载 文件 系 
统 的 挂 载 命 令 是 mount。 该 命令 的 语法 格式 如 下 : 


mount 选项 设备 挂 载 点 


mount 命令 的 常见 参数 选项 如 下 。 

。 -t: 指定 要 挂 载 的 文件 系统 的 类 型 。 

。 -r: 如 果 不 想 修改 要 挂 载 的 文件 系统 ,可 以 使 用 该 选项 以 读 取 方 式 挂 载 。 

。-w: 以 可 写 的 方式 挂 载 文件 系统 。 

。 -a: 挂 载 /etc/fstab 文件 中 记录 的 设备 。 

把 文件 系统 类 型 为 ext3 的 磁盘 分 区 /dev/sda2 挂 载 到 /media/sda2 目录 下 ,可 以 使 用 以 
下 命令 。 


[root@ serverl ~ ]#mount ~t ext3 /dev/sda2 /media/sde2 
挂 载 光盘 到 /media/cdrom 目录 (该 目录 提前 已 建立 好 ) 可 以 使 用 下 列 命令 。 
[root@ serverl ~ ]#mount 一 上 is09660 /dev/cirom /media/cdrom 
使 用 下 面 的 命令 也 可 以 完成 光盘 的 挂 载 。 
[root@ serverl ~ ]#mount /dev/cdrom [media/cdram 
通常 ,使 用 mount /dev/cdrom 命令 挂 载 光 盘 后 ,在 /media 目录 下 会 有 


cdrom 子 目 录 。 但 如 果 使 用 的 光驱 是 刻录 机 ,此 时 /media 目录 下 为 cdrecorder 
注意 ， 子 目录 而 不 是 cdrom 子 目录 。 说 明光 盘 是 挂 载 到 /media/cdrecorder 目录 下 。 
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(2) umount 


文件 系统 可 以 被 挂 载 也 可 以 被 卸载 。 印 载 文件 系统 的 命令 是 umount。umount 命令 的 


7. 文件 系统 的 自动 挂 载 

如 果 要 实现 每 次 开机 自动 挂 载 文件 系统 ,可 以 通过 编辑 /etc/fstab 文件 来 实现 。 在 
/etc/fstab 中 列 出 了 引导 系统 时 需要 挂 载 的 文件 系统 ,以 及 文件 系统 的 类 型 和 挂 载 参数 。 系 
统 在 引导 过 程 中 会 读 取 /etc/fstab 文件 ,并 根据 该 文件 的 配置 参数 挂 载 相应 的 文件 系统 。 以 
下 是 一 个 fstab 文件 的 内 容 。 


/etc/fstab 文件 的 每 一 行 代表 一 个 文件 系统 ,每 一 行 又 包含 6 列 ,这 6 列 的 内 容 如 下 : 
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fs spec fs file fs vfstype fs mtops fs freq fs3 passno 


以 上 内 容 的 具体 含义 如 下 。 

。 fs_spec: 将 要 挂 载 的 设备 文件 。 

。 fs_file: 文件 系统 的 挂 载 点 。 

。 fs_vfstype: 文件 系统 类 型 。 

fs_mntops: 挂 载 选项 ,传递 给 mount 命令 时 决定 如 何 挂 载 , 各 选项 之 间 用 逗号 隔 开 。 
。 fs_freq: 由 dump 程序 决定 文件 系统 是 否 需 要 备份 ,0 表示 不 备份 ,1 表示 备份 。 
。 fs_passno: 由 fsck 程序 决定 引导 时 是 否 检 查 磁 盘 及 检查 次 序 , 取 值 可 以 为 0、1、2。 
例如 ,如 果实 现 每 次 开机 自动 将 文件 系统 类 型 为 vfat 的 分 区 /dev/sdb3 挂 载 到 /media/ 

sdb3 目录 下 ,需要 在 /etc/fstab 文件 中 添加 下 面 一 行 。 重 新 启动 计算 机 后 ,/dev/sdb3 就 能 

自动 挂 载 了 。 


/dev/sdb3 /media/sdb3 vfat defaults 0 0 


5.2.2 Linux 中 的 软 RAID 


RAID(Redundant Array of Inexpensive Disks, 独 立 磁 盘 宛 余 阵列 ) 用 于 将 多 个 廉价 的 
小 型 磁盘 驱动 器 合并 成 一 个 磁盘 阵列 ,以 提高 存储 性 能 和 容错 功能 。RAID 可 分 为 软 RAID 
和 硬 RAID。 软 RAID 是 通过 软件 实现 多 块 硬盘 宛 余 的 ; 硬 RAID 一 般 是 通过 RAID 卡 来 实 
现 RAID 的 。 软 RAID 配置 简单 ,管理 比较 灵活 ,对 于 中 小 企业 来 说 不 失 为 一 种 最 佳 选择 ， 
硬 RAID 在 性 能 方面 具有 一 定 优势 ,但 往往 花费 比较 大 。 

RAID 作为 高 性 能 的 存储 系统 ,已 经 得 到 了 越 来 越 广泛 的 应 用 。RAID 的 级 别 从 RAID 
概念 的 提出 到 现在 ,已 经 发 展 了 6 个 级 别 ,分 别 是 0、1、2、3、4、5。 其 中 最 常用 的 是 0、1、3、5 
这 4 个 级 别 。 

RAID 0 是 将 多 个 磁盘 合并 成 一 个 大 的 磁盘 ,不 具有 宛 余 , 采 用 并 行 IO, 速 度 最 快 。 
RAID 0 也 称 为 带 区 集 。 在 存放 数据 时 ,其 将 数据 按 磁盘 的 个 数 来 进行 分 段 , 同 时 将 这 些 数 
据 写 进 相应 的 磁盘 中 。 由 于 RAID 0 没有 元 余 功 能 ,如 果 一 个 磁盘 (物理 ) 损 坏 , 则 所 有 的 数 
据 都 无 法 使 用 。 

RAID 1 把 磁盘 阵列 中 的 硬盘 分 成 相同 的 两 组 , 互 为 镜像 。 当 任 一 磁盘 介质 出 现 故障 
时 ,可 以 利用 其 镜像 上 的 数据 恢复 ,从 而 提高 系统 的 容错 能 力 。 对 数据 的 操作 仍 采 用 分 块 后 
并 行 传输 方式 。 所 以 ,RAID 1 不 仅 提高 了 读 写 速度 ,也 加 强 了 系统 的 可 靠 性 。 其 缺点 是 硬 
盘 的 利用 率 低 ,只 有 50%。 

RAID 3 存放 数据 的 原理 和 RAID 0、RAID 1 不 同 ,RAID 3 以 一 个 硬盘 来 存放 数据 的 奇 
偶 校 验 位 ,数据 则 分 段 存储 于 其 余 的 硬盘 中 。 它 像 RAID 0 一 样 以 并 行 的 方式 来 存放 数据 ， 
但 速度 没有 RAID 0 快 。 如 果 硬 盘 ( 物 理 ) 损 坏 , 只 须 将 坏 的 硬盘 换 掉 即 可 。RAID 控制 系统 
会 根据 校 验 盘 的 数据 校 验 位 在 新 盘 中 重建 坏 盘 上 的 数据 。 不 过 ,如 果 校 验 盘 (物理 ) 损 坏 , 则 
全 部 数据 都 无 法 使 用 。 利 用 单独 的 校 验 盘 来 保护 数据 虽然 没有 镜像 的 安全 性 高 ,但 是 硬盘 


>] 
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利用 率 得 到 了 很 大 的 提高 ,为 "一 1( 为 硬盘 数量 ,下 同 ) 。 

RAID 5 向 阵列 中 的 磁盘 写 数据 ,奇偶 校 验 数 据 存放 在 阵列 中 的 各 个 磁盘 上 ,允许 单个 
磁盘 出 错 。RAID 5 也 是 以 数据 的 校 验 位 来 保证 数据 安全 的 ,但 它 不 是 以 单独 硬盘 来 存放 数 
据 的 校 验 位 ,而 是 将 数据 段 的 校 验 位 交互 存放 于 各 个 硬盘 上 。 这 样 , 任 何 一 个 硬盘 损坏 ,都 
可 以 根据 其 他 硬盘 上 的 校 验 位 来 重建 损坏 的 数据 。 硬 盘 的 利用 率 为 n 一 1。 

Red Hat Enterprise Linux 7. 4 提供 了 对 软 RAID 技术 的 支持 。 在 Linux 系统 中 ,可 以 
使 用 mdadm 工具 建立 和 管理 RAID 设备 。 


1. 实现 软 RAID 的 设计 和 准备 

通过 VMware 虚拟 机 的 “设置 "一 “添加 ”一 “硬盘 ”一 “SCSI 硬盘 ”命令 添加 一 块 SCSI 硬 
盘 。 比 如 , 某 用户 的 计算 机 已 经 有 了 一 块 硬盘 /dev/sda, 所 以 新 加 的 硬盘 是 /dev/sdb。 创 建 
该 磁盘 的 扩展 分 区 ,同时 将 该 扩展 分 区 划分 成 4 个 逻辑 分 区 。 具 体 环境 及 要 求 如 下 : 

。 每 个 逻辑 分 区 大 小 为 1024MB, 分 区 类 型 id 为 fd(Linux raid autodetect) 。 

。 利 用 4 个 分 区 组 成 RAID 5。 

。 1 个 分 区 设 定 为 备用 磁盘 (spare disk) ,这 个 备用 磁盘 的 大 小 与 其 他 RAID 所 需 分 区 
一 样 大 。 
将 此 RAID 5 装置 挂 载 到 /mnt/raid 目录 下 。 

2. 创建 4 个 磁盘 分 区 

使 用 fdisk 命令 创建 4 个 磁盘 分 区 /dev/sdb5、/dev/sdb6、/dev/sdb7、/dev/sdb8, 并 设 
置 分 区 类 型 id 为 fd(Linux raid autodetect)。 分 区 过 程 及 结果 如 下 : 


[root@localhost ~ ]# fdisk /dev/scb 
The nuriber of cylinders for this disk is set to 2610. 
There is nothing wrong with that, but this is larger than 1024, 
and could in certain setups cause problems with: 
1) software that runs at boot time (e.g., old versions of LITO) 
2) booting and partitioning software fram other oss 

(e.g., DOS FDISK, O08/2 FDISK) 


Command fn for help): n # 创建 磁盘 分 区 


Carmand action 

e extended 

p primary partiticn (1- 4) 
e # 创建 磁盘 分 区 的 类 型 为 e(extended), 即 扩展 分 区 
Partition nmiber (1-4):1  # 扩 展 分 区 的 分 区 号 为 1, 即 扩展 分 区 为 /dev/sdb1l 
First cylinder (1- 2610, default 1) : ”# 起 始 磁 柱 为 1 
Using default value 1 


Iast cylinder or + size or + sizeM or + sizeK (- 2610, default 2610): +100AM # 容 量 为 0B 
Cemmand fn for help): n # 开 始 创建 1GB 逻 辑 磁盘 分 区 ,由 于 是 逻辑 分 区 ,所 以 起 始 号 是 5 


Command action 
1 logical (5 or over) 


2Tm]< 


3. 使 用 mdadm 创建 RAID 
程序 代码 如 下 : 


上 述 命令 中 指定 RAID 设备 名 为 /dev/md0, 级 别 为 5, 使 用 4 个 设备 建立 RAID, 空 余 一 
个 留 做 备用 。 上 面 的 代码 中 ,最 后 面 是 装置 文件 名 ,这 些 装置 文件 名 可 以 是 整个 磁盘 ,例如 
/dev/sdb; 也 可 以 是 磁盘 上 的 分 区 ,例如 /dev/sdbl 之 类 。 不 过 ,这 些 装置 文件 名 的 总 数 必须 
要 等 于 --raid-devices 与 -spare-devices 的 个 数 总 和 。 此 例 中 ,/dev/sdb{5,6,7,8,9} 是 一 种 
简写 ,其 中 /dev/sdb9 为 备用 。 


4. 查看 建立 的 RAID 5 的 具体 情况 
程序 代码 如 下 : 
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5. 格式 化 与 挂 载 使 用 RAID 
程序 代码 如 下 : 


[root@localhost ~ ]#mkfs -t ext4 /dev/m0 
# /aev/mao 作为 装置 被 格式 化 


[rootelocalhost ~ J#mkdir /mt/raid 
[root@localhost ~ J#mount /dev/ina0 /mt/raid 
{root@localhost ~ ]#dE 

文件 系统 IK- 块 已 用 可 用 已 用 % 挂 载 点 
/dev/sda2 2030768 477232 1448712 / 
/dev/sda8 1019208 92772 873828 
/devw/sda7 1019208 34724 931876 
/dev/sda6 5080796 2563724 2254816 
/dev/sda5 8123168 449792 7254084 


/dev/sdal 101086 11424 84443 /boct 
tapfs 517572 0 517572 /dev/stm 
/dev/sod0 2948686 2948686 0 /redia/RHEL 5.4 i386 DVD 


sm 


/dev/ma0 2964376 70024 2743768 


5,2.3 LVM 


LVM(Logical Volume Manager, 人 逻辑 卷 管理 器 ) 最 早 应 用 在 IBM AIX 系统 上 , 它 的 主要 作 
用 是 动态 分 配 磁盘 分 区 及 调整 磁盘 分 区 大 小 ,并 且 可 以 让 多 个 分 区 或 者 物理 硬盘 作为 一 个 逻 
辑 卷 ( 相 当 于 一 个 逻辑 硬盘 ) 来 使 用 。 这 种 机 制 可 以 让 磁盘 分 区 容量 划分 变 得 更 灵活 。 

例如 ,有 一 个 硬盘 /dev/hda 划分 了 3 个 主 分 区 为 /dev/hdal、/dev/hda2、/dev/hda3, 分 
别 对 应 的 挂 载 点 是 /boot、/ 和 /home, 除 此 之 外 ,还 有 一 部 分 磁盘 空间 没有 划分 。 伴 随 着 系统 
用 户 的 增多 ,如 果 /home 分 区 空间 不 够 了 ,怎么 办 ? 传统 的 方法 是 在 未 划分 的 空间 中 分 割 一 
个 分 区 , 挂 载 到 /home 下 ,并 且 把 hda3 的 内 容 复 制 到 这 个 新 分 区 上 。 或 者 把 这 个 新 分 区 挂 
载 到 另外 的 挂 载 点 上 ,然后 在 /home 下 创建 超 链 接 来 链接 到 这 个 新 挂 载 点 。 这 两 种 方法 都 
不 理想 ,第 一 种 方法 浪费 了 /dev/hda3, 并 且 如 果 后 面 的 分 区 容量 小 于 hda3 时 就 不 好 办 ;第 
二 种 方法 需要 每 次 都 额外 创建 超 链 接 ,比较 麻烦 。 利 用 LVM 可 以 很 好 地 解决 这 个 问题 。 
LVM 的 好 处 在 于 ,可 以 动态 调整 逻辑 卷 (相当 于 一 个 逻辑 分 区 ) 的 容量 大 小 。 也 就 是 说 
/dev/hda3 如 果 是 一 个 LVM 逻辑 分 区 ,比如 /dev/rootvg/1lv3, 那 么 lv3 会 被 动态 放大 ,这 样 
就 解决 了 动态 容量 调整 的 问题 。 当 然 , 前 提 是 系统 已 设 定好 LVM 支持 ,并 且 需 要 动态 缩放 
的 挂 载 点 对 应 的 设备 是 逻辑 卷 。 


1. LVM 的 基本 概念 

(1) PV(Physical Volume, 物 理 卷 ) 

物理 卷 处 于 LVM 的 底层 ,可 以 是 整个 物理 磁盘 ,也 可 以 是 硬盘 中 的 分 区 。 

(2) VG(Volume Group , 卷 组 ) 

VG 可 以 看 成 是 单独 的 逻辑 磁盘 ,建立 在 PV 之 上 ,是 PV 的 组 合 。 一 个 卷 组 中 至 少 要 
包括 一 个 PV ,在 卷 组 建立 之 后 可 以 动态 地 添加 PV 到 卷 组 中 。 
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(3) LV(Logical Volume, 人 逻辑 卷 ) 
LV 相当 于 物理 分 区 的 /dev/hdaX。 逻 辑 卷 建立 在 卷 组 之 上 , 卷 组 中 的 未 分 配 空间 可 以 
日 于 建立 新 的 逻辑 卷 , 逻 辑 卷 建立 后 可 以 动态 地 扩展 或 缩小 空间 。 系 统 中 的 多 个 逻辑 卷 可 
以 属于 同一 个 卷 组 ,也 可 以 属于 不 同 的 多 个 卷 组 。 
(4) PE(Physical Extent, 物 理 区 域 ) 
物理 区 域 是 物理 卷 中 可 用 于 分 配 的 最 小 存储 单元 ,物理 区 域 的 大 小 可 根据 实际 情况 在 
建立 物理 卷 时 指定 。 物 理 区 域 大 小 一 旦 确定 将 不 能 更 改 ,同一 卷 组 中 的 所 有 物理 卷 的 物理 
区 域 大 小 需要 一 致 。 当 多 个 PV 组 成 一 个 VG 时 ,LVM 会 在 所 有 PV 上 做 类 似 格式 化 的 动 
作 , 将 每 个 PV 切 成 一 块 块 的 空间 ,这 一 块 块 的 空间 就 称 为 PE, 通常 是 4MB。 
(5) LE(Logical Extent, 逻 辑 区 域 ) 
逻辑 区 域 是 逻辑 卷 中 可 用 于 分 配 的 最 小 存储 单元 ,逻辑 区 域 的 大 小 取决 于 逻辑 卷 所 在 
卷 组 中 的 物理 区 域 大 小 。LE 的 大 小 为 PE 的 倍数 (通常 为 1: 1)。 
(6) VGDA(Volume Group Descriptor Area, 卷 组 描述 区 域 ) 
VGDA 存在 于 每 个 物理 卷 中 ,用 于 描述 该 物理 卷 本 身 、 物 理 卷 所 属 卷 组 、 卷 组 中 的 逻辑 
卷 及 逻辑 卷 中 物理 区 域 的 分 配 等 所 有 的 信息 , 卷 组 描述 区 域 是 在 使 用 pvcreate 命令 建立 物 
理 卷 时 建立 的 。 
LVM 进行 逻辑 卷 的 管理 时 ,创建 顺序 是 pv 一 vg 习 lv。 也 就 是 说 ,首先 创建 一 个 物理 卷 
(对 应 一 个 物理 硬盘 分 区 或 者 一 个 物理 硬盘 ) ,然后 把 这 些 分 区 或 者 硬盘 加 入 到 一 个 卷 组 中 
(相当 于 一 个 逻辑 上 的 大 硬盘 ) ,再 在 这 个 大 硬盘 上 划分 分 区 lv( 逻 辑 上 的 分 区 ,就 是 逻辑 
卷 ) ,最 后 把 lv 逻辑 卷 格式 化 以 后 ,就 可 以 像 使 用 一 个 传统 分 区 那样 ,把 它 挂 载 到 一 个 挂 载 
点 上 ,需要 的 时 候 ,这 个 逻辑 卷 就 可 以 被 动态 缩放 。 例 如 ,可 以 用 一 个 长 方形 的 蛋糕 来 说 明 
这 种 对 应 关系 。 物 理 硬 盘 相 当 于 一 个 长 方形 蛋糕 ,把 它 切割 成 许多 块 ,每 个 小 块 相 当 于 一 个 
PV ,然后 把 其 中 的 某 些 PV 重新 放 在 一 起 , 抹 上 奶油 ,那么 这 些 PV 的 组 合 就 是 一 个 新 的 蛋 
糕 ,也 就 是 VG。 最 后 ,切割 这 个 新 蛋糕 VG , 切 出 来 的 小 蛋糕 就 叫 作 LV。 


国 /boot 启动 分 区 不 可 以 是 LVM, 因 为 GRUB 和 LILO 引导 程序 并 不 能 识 
别 LVM。 


7 


2. 物理 卷 , 卷 组 和 逻辑 卷 的 建立 

假设 系统 中 新 增加 了 一 块 硬盘 /dev/sdb。 下 面 以 在 /dev/sdb 上 创建 卷 为 例 介 绍 物 理 
卷 . 卷 组 和 逻辑 卷 的 建立 。( 请 在 虚拟 机 系统 中 提前 增加 一 块 硬盘 /dev/sdb。) 

物理 卷 可 以 建立 在 整个 物理 硬盘 上 ,也 可 以 建立 在 硬盘 分 区 中 。 如 在 整个 硬盘 上 建立 
物理 卷 , 则 不 要 在 该 硬盘 上 建立 任何 分 区 ;如 使 用 硬盘 分 区 建立 物理 卷 , 则 需 事 先 对 硬盘 进 
行 分 区 并 设置 该 分 区 为 LVM 类 型 ,其 类 型 ID 为 0x8e。 

(1) 建立 LVM 类 型 的 分 区 

利用 fdisk 命令 在 /dev/sdb 上 建立 LVM 类 型 的 分 区 ,程序 代码 如 下 : 


[root@serverl ~ ]# fdisk /dev/scb 
// 使 用 n 子 命令 创建 分 区 


利用 同样 的 方法 创建 LVM 类 型 的 分 区 /dev/sdb3 和 /dev/sdb4。 

(2) 建立 物理 卷 

利用 pvcreate 命令 可 以 在 已 经 创建 好 的 分 区 上 建立 物理 卷 。 物 理 卷 直接 建立 在 物理 硬 
盘 或 者 硬盘 分 区 上 ,所 以 物理 卷 的 设备 文件 使 用 系统 中 现 有 的 磁盘 分 区 设备 文件 的 名 称 。 


使 用 同样 的 方法 建立 /dev/sdb3 和 /dev/sdb4。 

(3) 建立 卷 组 

在 创建 好 物理 卷 后 ,使 用 vgcreate 命令 建立 卷 组 。 卷 组 设备 文件 使 用 /dev 目录 下 与 卷 
组 同名 的 目录 表示 ,该 卷 组 中 的 所 有 逮 辑 设备 文件 都 将 建立 在 该 目录 下 , 卷 组 目录 是 在 使 用 
vgcreate 命令 建立 卷 组 时 创建 的 。 卷 组 中 可 以 包含 多 个 物理 卷 , 也 可 以 只 有 一 个 物理 卷 。 
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其 中 ,vg0 为 要 建立 的 卷 组 名 称 。 这 里 的 PE 值 使 用 默认 的 4MB。 如 果 需 要 增 大 ,可 以 
-选项 ,但 是 一 旦 设 定 以 后 就 不 可 更 改 PE 的 值 。 使 用 同样 的 方法 创建 vgl 和 vg2。 
(4) 建立 逻辑 卷 

建立 好 卷 组 后 ,可 以 使 用 lvcreate 命令 在 已 有 的 卷 组 上 建立 逻辑 卷 。 逻 辑 卷 设备 文件 
其 所 在 卷 组 的 目录 中 ,该 文件 是 在 使 用 lvcreate 命令 建立 逻辑 卷 时 创建 的 。 


// 使 用 lvcreate 命 令 创建 卷 组 

[root@serverl ~ ]# lvcreate -L 20M -n lv0 vg0 
Logical volume "lv0" created 

// 使 用 lvdisplay 命 令 显示 创 建 的 1v0 的 信息 
[root@ serverl ~ ]# lvdisplay /dev/vg0/1v0 


其 中 ,-L 选项 用 于 设置 逻辑 卷 大 小 ,-n 选项 用 于 指定 逻辑 卷 的 名 称 和 卷 组 的 名 称 。 


3. LVM 逻辑 卷 的 管理 

(1) 增加 新 的 物理 卷 到 卷 组 

当 卷 组 中 没有 足够 的 空间 分 配给 逻辑 卷 时 ,可 以 用 给 卷 组 增加 物理 卷 的 方法 来 增加 卷 
空间 。 需 要 注意 的 是 ,下 述 命 令 中 的 /dev/sdb2 必须 为 LVM 类 型 ,而 且 必 须 为 PV。 


[root@ serverl ~ ]# vgextend vg0 /dev/sdb2 
Volume group "vg0" sucoessfully extended 


(2) 好 辑 卷 容 量 的 动态 调整 

当 逻 辑 卷 的 空间 不 能 满足 要 求 时 ,可 以 利用 lvextend 命令 把 卷 组 中 的 空闲 空间 分 配 到 
辑 卷 以 扩展 逻辑 卷 的 容量 。 当 逻辑 卷 的 空闲 空间 太 大 时 ,可 以 使 用 lvreduce 命令 减少 
卷 的 容量 。 


/使 用 lvextend 命 令 增加 逻辑 卷 容量 

[root@ serverl ~ ]# lvextend —L + 10M /dev/vg0/1v0 

Rounding up size to full physical extent 12.00 MB 

Extending logical volume lv0 to 32.00 MB 

Iogical volume lv0 sucoessfully resized 

/使 用 lvreduce 命 令 减少 逻辑 卷 容量 

[root@ serverl ~ ]# lvreduce - 工 - 10M /dev/vg0/1v0 
Rounding up size to full physical extent 8.00 MB 
WARNING: Reducing active logical volume to 24.00 MB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 

Do you really want to reduce lv0 [y/n]:y 
Reducing logical volume lv0 to 24.00 BB 
Iogical volume lv0 successfully resized 


(3) 删除 逻辑 卷 . 卷 组 ,物理 卷 (必须 按照 先后 顺序 来 进行 删除 ) 


// 使 用 lvremove 命 令 删 除 逻 辑 卷 

[root@ serverl ~ ]# lvremove /dev/vg0/1v0 

Do you really want to remove active logical volume "lv0" [y/n]:y 
Iogical volume "lv0" successful1y removed 
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// 使 用 vgremove 命 令 删 除 卷 组 
[root@serverl ~ ]# vgremove vg0 
Volume group "wgO" sucoessfully removed 
// 使 用 pvrerove 命 令 删 除 物理 卷 
[root@ serverl ~ ]#Evremove /dev/sdbl 
Labels on physical volume "/dev/sdbl" successfully wiped 


4. 物理 卷 , 卷 组 和 逻辑 卷 的 检查 
(1) 物理 卷 的 检查 


[root@serverl ~ ]#Evscan 
BW /devw/sdb4 VGvg2 lw [624.00 MB / 624.00 MB free] 
BW /dev/sdb3 VGvgl lm2 [100.00 MB / 88.00 MB free] 
EB /dev/sadbl VGvg0 lw [232.00 MB / 232.00 MB free] 
BW /dev/sdb2 VGvg0 lvm? [184.00 MB / 184.00 MB free] 
Total: 4 [1.11 GB] / in use: 4 [1.11 GB] / in no Ve: 0 [0] 


(2) 卷 组 的 检查 


[root@ serverl ~ ]# vgscan 
Reading all physical volumes. This may take a while... 
Found volume group "vg2" using metadata type lvm2 
Found volume group "vgl" using metadata type lvm2 
Found volume group "vg0" using metadata type lvmr2 


(3) 逻辑 卷 的 检查 


[root@ serverl ~ ]# lvscan 
BRCTIVE ~ ‘'/dev/vgl/lv3' [12.00 MB] inherit 
ACTIVE Vadev/vg0/lv0' [24.00 MB] inherit 


5.3 管理 磁盘 配额 


Linux 是 一 个 多 用 户 的 操作 系统 ,为 了 防止 某 个 用 户 或 组 群 占用 过 多 的 磁盘 空间 ,可 以 
通过 磁盘 配额 (disk quota) 功 能 限制 用 户 和 组 群 对 磁盘 空间 的 使 用 。 在 Linux 系统 中 可 以 
通过 索引 节点 数 和 磁盘 块 区 数 来 限制 用 户 和 组 群 对 磁盘 空间 的 使 用 。 

。 限制 用 户 和 组 的 索引 节点 数 (inode) 是 指 限制 用 户 和 组 可 以 创建 的 文件 数量 。 

。 限制 用 户 和 组 的 磁盘 块 区 数 (block) 是 指 限 制 用 户 和 组 可 以 使 用 的 磁盘 容量 。 

设置 系统 的 磁盘 配额 大 体 可 以 分 为 4 个 步骤 。 

(1) 启动 系统 的 磁盘 配额 (quota) 功 能 。 

(2) 创建 磁盘 配额 文件 。 

(3) 设置 用 户 和 组 群 的 磁盘 配额 。 

(4) 启动 磁盘 限额 功能 。 
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5.3.1 磁盘 配额 设置 的 设计 与 准备 


1. 本 次 实 训 的 环境 要 求 

。 目的 账号 : 5 个 员工 的 账号 分 别 是 myquotal、myquota2、myquota3、myquota4 和 
myquota5,5 个 用 户 的 密码 都 是 password, 且 这 5 个 用 户 所 属 的 初始 群 组 都 是 
myquotagrp。 其 他 的 账号 属性 则 使 用 默认 值 。 

账号 的 磁盘 容量 限制 值 : 5 个 用 户 都 能 够 取得 300MB 的 磁盘 使 用 量 (hard) ,文件 数 
量 则 不 予 限制 。 此 外 ,只 要 容量 使 用 超过 250MB, 就 予以 警告 。 

群 组 的 限额 : 由 于 系统 里 面 还 有 其 他 用 户 存 在 ,因此 限制 myquotagrp 这 个 群 组 最 多 
仅 能 使 用 1GB 的 容量 。 也 就 是 说 ,如 果 myquotal、myquota2 和 myquota3 都 用 了 
280MB 的 容量 ,那么 其 他 两 个 用 户 最 多 只 能 使 用 160MB(1000MB 一 280MBX3) 的 
磁盘 容量 。 这 就 是 使 用 者 与 群 组 同时 设 定时 会 产生 的 效果 。 

宽 限 时 间 的 限制 : 希望 每 个 使 用 者 在 超过 soft 限制 值 之 后 ,都 还 能 够 有 14 天 的 宽 限 
时 间 。 


当 本 例 中 的 /home 必须 是 独立 分 区 ,并 且 文 件 系统 是 ext4。 


注 意 


2. 使 用 脚本 建立 磁盘 配额 实 训 所 需 的 环境 
制作 账号 环境 时 ,由 于 有 5 个 账号 ,因此 使 用 脚本 创建 环境 。 


[root@ serverl ~ ]# vim actaccount ,sh 

# !/bin/bash 

# 使 用 脚本 来 建立 实验 磁盘 配额 所 需 的 环境 
roupadd myquotagrp 


for username in myquotal myquota? myquota3 myquota4 myquota5 
do 


useradd -g myquotagrp $username 
echo "password"|passwd  —- stdin $ username 
done 


[root@ serverl ~ ]# sh addacoomt..sh 


5.3.2 实施 磁盘 配额 


1. 启动 系统 的 磁盘 配额 

(1) 文件 系统 支持 。 

要 使 用 磁盘 配额 ,必须 要 有 文件 系统 的 支持 。 假 设 已 经 使 用 了 预 设 支 持 磁盘 配额 的 
核心 ,那么 接 下 来 就 是 要 启动 文件 系统 的 支持 。 不 过 ,由 于 磁盘 配额 仅 针对 整个 文件 系统 
来 进行 规划 ,所 以 要 先 检查 一 下 /home 是 否 是 独立 的 文件 系统 ,这 需要 使 用 df 命令 。 
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[root@serverl ~ ]#df -h /hm 

文件 系统 容量 已 用 可 用 已 用 % 挂 载 点 

/dev/sda3 7.5B 3MB 7.5B 1 /home  // 确 定 主机 的 /bane 是 独立 的 
[root@ serverl ~ ]#mount|grep home 

/dev/sda3 on /hame type ext4 (rw,relatime,seclabel,data= ordered) 


从 上 面 的 数据 来 看 ,这 台 主 机 的 /home 确实 是 独立 的 文件 系统 ,因此 可 以 直接 限制 
/dev/hda3。 如 果 系统 的 /home 不 是 独立 的 文件 系统 ,那么 可 能 就 要 针对 根 目录 (/) 进 行规 
范 。 不 过 ,不 建议 在 根 目录 设 定 磁盘 配额 。 此 外 ,由 于 VFAT 文件 系统 并 不 支持 Linux 磁 
盘 配 额 功能 ,所 以 要 使 用 mount 命令 查询 一 下 /home 的 文件 系统 是 什么 , 如果 是 ext2 
/ext3/ext4/xfs, 则 支持 磁盘 配额 。 

(2) 如 果 只 是 想 要 在 本 次 开机 中 测试 磁盘 配额 ,那么 可 以 使 用 以 下 的 方式 来 手动 加 入 
对 磁盘 配额 的 支持 。 


[root@ serverl ~ ]#mount -Oremcurt,UsrguotargGrPgaota /home 

[root@ serverl ~ ]#mount|grep home 

/dev/sda3 on /hame type ext4 (rw,relatime, seclabel, quota,usrquota, grpquota, 
data= ordered) 

// 重 点 就 在 于 usrquota 和 grpquota, 注 意 写法 


(3) 自动 挂 载 。 
手动 挂 载 的 数据 在 下 次 重新 挂 载 系统 时 就 会 消失 ,因此 最 好 写 和 人 配置 文件 中 。 


[root@serverl ~ ]# vim /etc/fstab 

/dev/sda3 /home ext4 defaults,usrquota,grpquota 1 2 

// 其 他 项 目 并 没有 列 出 来 ,重点 在 于 第 4 字段 ,在 default 后面 应 加 上 两 个 参数 
[root@serverl ~ ]# Unount /hame 

[root@ serverl ~ ]#mount|grep bcme 

[root@serverl ~ J#momnt -a 

[root@ serverl ~ ]#mount|grep hame 

/dev/sda3 on /home type ext4 (rw,relatime, seclabel, quota,usrquota, grpquota, 
data= ordered) 


再 次 强调 ,修改 完 /etc/fstab 后 ,务必 要 测试 一 下 。 若 发 生 错误 则 必须 尽快 处 理 。 因 为 
这 个 文件 如 果 修 改 错误 ,会 造成 无 法 完全 开机 的 情况 。 最 好 使 用 Vim 来 修改 ,因为 Vim 会 
进行 语法 的 检验 。 

2. 建立 磁盘 配额 记录 文件 

其 实 磁盘 配额 是 通过 分 析 整 个 文件 系统 中 每 个 使 用 者 ( 群 组 ) 拥 有 的 文件 总 数 与 总 容 
量 , 再 将 这 些 数据 记录 在 该 文件 系统 的 最 顶层 目录 ,然后 在 该 记录 文件 中 再 使 用 每 个 账号 
(或 群 组 ) 的 限制 值 去 规范 磁盘 使 用 量 。 所 以 ,创建 磁盘 配额 记录 文件 非常 重要 。 可 以 使 用 
quotacheck 命令 扫描 文件 系统 并 建立 磁盘 配额 的 记录 文件 。 

当 运 行 quotacheck 命令 时 ,系统 会 担心 破坏 原 有 的 记录 文件 ,所 以 会 产生 一 些 错误 信息 
警告 。 如 果 确 定 没有 任何 人 在 使 用 磁盘 配额 时 ,可 以 强制 重新 执行 quotacheck 命令 的 相关 
动作 (-mf) 。 强 制 执行 的 情况 可 以 使 用 以 下 的 选项 功能 。 
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# 如 果 因 为 特殊 需求 需要 强制 扫描 已 挂 载 的 文件 系统 时 

[root@serverl ~ ]#quotacheck - avug -nf 

quotacheck: Scanning /dev/sda5 [/home] quotacheck: Cannot stat old user quota file: 没有 那个 文件 或 目录 
quctacheck: Cannot stat old group quota file: 没有 那个 文件 或 目录 

quctacheck: Cannot stat old user quota file: 没有 那个 文件 或 目录 

uotacheck: Cannot stat old group quota file: 没有 那个 文件 或 目录 

# 没 有 找到 文件 系统 ,因为 还 没有 制作 记录 文件 

[root@serverl ~ ]#1 -d /haome/a* 

—IW------- 1 root root 7168 02- 25 20:26 /hame/aquota.group 

一 IW----- 1 root root 7168 02- 25 20:26 /home/aquota.user ”## 记 录 文 件 已 经 建立 


这 样 记 录 文 件 就 建立 起 来 了 。 不 要 手动 去 编辑 那 两 个 文件 ,因为 那 两 个 文件 是 磁盘 配 
额 自己 的 数据 文件 ,并 不 是 纯 文 本 文件 ,并 且 该 文件 会 一 直 变 动 ,这 是 因为 当 对 /home 这 个 
文件 系统 进行 操作 时 ,操作 的 结果 会 影响 磁盘 ,所 以 会 同步 记载 到 那 两 个 文件 中 。 所 以 要 建 
立 aquota. user、aquota. group, 记 得 使 用 quotacheck 命令 ,不 要 手动 编辑 。 


3. 磁盘 配额 的 启动 ,关闭 与 限制 值 设 定 

制作 好 磁盘 配额 配置 文件 之 后 ,就 要 启动 磁盘 配额 了 。 启 动 的 方式 很 简单 ,使 用 
quotaon 命令 ,如果 要 关闭 ,就 用 quotaoff 命令 。 

(1) quotaon: 启动 磁盘 配额 的 服务 。 


[root@ serverl ~ ]# quotacn [- avug] 
[root@ serverl ~ ]# quotacn [~ vog] [/mount. point] 


quotaon 命令 的 选项 与 参数 说 明 如 下 。 

。 -a: 根据 /etc/mtab 内 的 文件 系统 设 定 启动 有 关 的 磁盘 配额 。 若 不 加 -a, 则 后 面 就 需 
要 加 上 特定 的 那个 文件 系统 。 

-v: 显示 启动 过 程 的 相关 信息 。 

-u: 针对 使 用 者 启动 磁盘 配额 (aquota. user) 。 

-g: 针对 群 组 启动 磁盘 配额 (aquota. group) 。 


# 由 于 要 启动 user/group 的 磁盘 配额 ,所 以 使 用 下 面 的 语法 即 可 
[root@serverl ~ ]# guotacn -aarvg 

/dev/sda3 [/home] : group quotas tumed on 

/dev/sda3 [/home]: user quotas burned on 


quotaon -auvg 命令 几乎 只 在 第 一 次 启动 磁盘 配额 时 才 需 要 。 因 为 下 次 重新 启动 系统 
时 ,系统 的 /etc/rc. d/rc. sysinit 这 个 初始 化 脚本 就 会 自动 下 达 该 指令 。 因 此 只 要 在 这 次 实 
例 中 进行 一 次 即 可 ,未 来 都 不 需要 自行 启动 磁盘 配额 。 

(2) quotaoff: 关闭 磁盘 配额 的 服务 。 

在 进行 完 本 次 操作 前 不 要 关闭 该 服务 。 

(3) edquota: 编辑 账号 / 群 组 的 限 值 与 宽 限时 间 。 

@ 当 进入 myquotal 的 限额 设 定时 ,相应 的 显示 如 下 。 


@ 当 soft/hard 为 0 时 ,表示 没有 限制 的 意思 。 依 据 我 们 的 需求 ,需要 设 定 的 是 blocks 
的 soft/hard, 至 于 inode 则 不 要 去 更 改 。 


@ 其 他 5 个 用 户 的 设 定 可 以 进行 磁盘 配额 的 复制 。 


@ 更 改 群 组 的 磁盘 配额 限额 。 


@ 将 宽 限 时 间 改 成 14 天 。 


4. repquota 命令 针对 文件 系统 的 限额 做 报表 
程序 代码 如 下 : 


“Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 
5. 测试 与 管理 
(1) 利用 myquotal 的 身份 创建 一 个 270MB 的 大 文件 ,并 观察 结果 。 


接 下 来 看 看 报表 ,程序 如 下 。 


(2) 再 创建 另外 一 个 大 文件 ,让 总 容量 超过 300MB。 


此 时 ,myquotal 可 以 开始 处 理 它 的 文件 系统 了 。 如 果 不 处 理 , 最 后 宽 限 时 间 会 归 零 , 然 
后 出 现 以 下 的 内 容 。 
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> 工本 和 


5.4 练习 题 
一 、 填 空 题 
1. 文件 系统 (File System) 是 磁盘 上 有 特定 格式 的 一 片区 域 ,操作 系统 利用 文件 系统 和 
详 御 3 

2. ext 文件 系统 在 1992 年 4 月 完成 , 称 为 ,是 第 一 个 专门 针对 Linux 操作 系统 
的 文件 系统 。Linux 系统 使 用 文件 系统 。 

吉 是 光盘 所 使 用 的 标准 文件 系统 。 

4. Linux 的 文件 系统 是 采用 阶层 式 的 结构 ,在 该 结构 中 的 最 上 层 是 

5. 默认 的 权限 可 用 命令 修改 ,用 法 非常 简单 ,只 须 执行 命令 , 便 代 表 
屏蔽 所 有 的 权限 ,因而 之 后 建立 的 文件 或 目录 的 权限 都 变 成 。 

6. 在 Linux 系 统 安 装 时 ,可 以 采用 和 等 方式 进行 分 区 。 除 
此 之 外 ,在 Linux 系统 中 还 有 等 分 区 工具 。 

7. RAID(Redundant Array of Inexpensive Disks) 的 中 文 全 称 是 ,用 于 将 多 个 
小 型 磁盘 驱动 器 合并 成 一 个 ,以 提高 存储 性 能 和 _ 功能。RAID 可 分 为 

和 , 软 RAID 通过 软件 实现 多 块 硬盘 。 

8. LVM(Logical Volume Manager) 的 中 文 全 称 是 ,最 早 应 用 在 IBM AIX 系 
统 上 。 它 的 主要 作用 是 及 调整 磁盘 分 区 大 小 ,并 且 可 以 让 多 个 分 区 或 者 物理 硬盘 
作为 来 使 用 。 

9. 可 以 通过 和 来 限制 用 户 和 组 群 对 磁盘 空间 的 使 用 。 

二 、 选择 题 

1. 假定 Kernel 支持 vfat 分 区 ,( ) 操 作 是 将 /dev/hdal (一 个 Windows 分 区 ) 加 载 
到 /win 目录 。 


A. mount -t windows /win /dev/hdal 
B. mount -fs 一 msdos/dev/hdal /win 
C. mount-s win /dev/hdal /win 
D. mount -t vfat /dev/hdal /win 
2. 关于 /etc/fstab 的 正确 描述 是 ( 3 
A. 启动 系统 后 ,由 系统 自动 产生 
B. 用 于 管理 文件 系统 信息 
C. 用 于 设置 命名 规则 ,设置 是 否 可 以 使 用 Tab 键 来 命名 一 个 文件 


D. 保存 硬件 信息 
3. 存放 Linux 基本 命令 的 目录 是 ( he 

A. /bin B. /tmp C. /lib D. /root 
4. 对 于 普通 用 户 创建 的 新 目录 ,( ) 是 默认 的 访问 权限 。 

A. rwxr-xr-x B. rw-rwxrw- C. rwxrw-rw- D. rwxrwxrw- 
5. 如 果 当 前 目录 是 /home/sea/china, 那 么 china 的 父 目录 是 ( 

A. /home/sea B. /home/ C1 D. /sea 
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6. 系统 中 有 用 户 userl 和 user2 同属 于 users 组 。 在 userl 用 户 目 录 下 有 一 文件 filel， 
它 拥有 644 的 权限 ,如 果 user2 想 修 改 userl 用 户 目 录 下 的 filel 文件 ,应 拥有 ( ) 权 限 。 


A. 744 B. 664 C. 646 D. 746 
7. 在 一 个 新 分 区 上 建立 文件 系统 应 该 使 用 ( ) 命 令 。 

A. fdisk B. makefs C. mkfs D. format 
8. 用 1s -al 命令 列 出 下 面 的 文件 列表 ,其 中 ( ) 文 件 是 符号 链接 文件 。 

A. -rw——— 2 hel -s users 56 Sep 09 11:05 hello 

B. -rw-———- 2 hel -s users 56 Sep 09 11:05 goodbey 

C. drwx-- 一 1 hel users 1024 Sep 10 08:10 zhang 


D. lrwx——- 1 hel users 2024 Sep 12 08:12 cheng 
9. Linux 文件 系统 的 目录 结构 是 一 棵 倒挂 的 树 ,文件 都 按 其 作用 分 门 别 类 地 放 在 相关 
的 目录 中 。 现 有 一 个 外 围 设备 文件 ,应 该 将 其 放 在 ( ) 目 录 中 。 


A. /bin B. /etc C. /dev D. lib 
10. 如 果 umask 设置 为 022, 默 认 的 创建 的 文件 权限 为 ( jc 
A. -一 w 一 w- B. -rwxr-xr-x CG Fa D. rw-r—r— 
三 、 简 答题 


1. RAID 技术 主要 是 为 了 解决 什么 问题 ? 

2. RAID 0 和 RAID 5 哪个 更 安全 ? 

3. 位 于 LVM 最 底层 的 是 物理 卷 还 是 卷 组 ? 

4. LVM 对 逻辑 卷 的 扩容 和 缩 容 操作 有 何 异 同 点 ? 
5. LVM 的 快照 卷 能 使 用 几 次 ? 

6. 简 述 LVM 的 删除 顺序 。 


5.5 项 目 实录 


项 目 实录 一 : 文件 权限 管理 


1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观看 视频 。 

2. 项 目 实 训 目 的 及 内 容 

(1) 掌握 利用 chmod 及 chgrp 等 命令 实现 Linux 文件 权限 管理 的 
方法 。 

(2) 掌握 磁盘 限额 的 实现 方法 。 

3. 项 目 背景 

某 公 司 有 60 个 员工 ,分 别 在 5 个 部 门 工 作 , 每 个 人 工作 内 容 不 同 。 需 要 在 服务 器 上 为 
每 个 人 创建 不 同 的 账号 ,把 相同 部 门 的 用 户 放 在 一 个 组 中 ,每 个 用 户 都 有 自己 的 工作 目录 ， 
并 且 需 要 根据 工作 性 质 给 每 个 部 门 和 每 个 用 户 在 服务 器 上 的 可 用 空间 进行 限制 。 

假设 有 用 户 userl ,请 设置 userl 对 /dev/sdbl 分 区 的 磁盘 限额 ,将 userl 对 blocks 的 
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soft 设置 为 5000,hard 设置 为 10000; 对 inodes 的 soft 设置 为 5000,hard 设置 为 10000。 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效 果 。 


项 目 实录 二 : 文件 系统 管理 


1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观 看 视频 。 

2. 项 目 实 训 目 的 及 内 容 

(1) 掌握 Linux 下 文件 系统 的 创建 , 挂 载 与 卸载 的 方法 。 

(2) 掌握 文件 系统 的 自动 挂 载 的 方法 。 

3. 项 目 背景 

某 企 业 的 Linux 服务 器 中 新 增 了 一 块 硬盘 /dev/sdb, 请 使 用 fdisk 命令 新 建 /dev/sdbl 
主 分 区 和 /dev/sdb2 扩展 分 区 ,在 扩展 分 区 中 新 建 逻辑 分 区 /dev/sdb5, 并 使 用 mkfs 命令 分 
别 创建 vfat 和 ext3 文件 系统 。 然 后 用 fsck 命令 检查 这 两 个 文件 系统 ,最 后 把 这 两 个 文件 系 
统 挂 载 到 系统 上 。 

4. 做 一 做 

根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效 果 。 


项 目 实 录 三 : LVM 逻辑 卷 管理 器 


1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观 看 视频 。 

2. 项 目 实 训 目 的 及 内 容 

(1) 掌握 创建 LVM 分 区 类 型 的 方法 。 

(2) 掌握 LVM 逻辑 卷 管理 的 基本 方法 。 

3. 项 目 背景 

某 企业 在 Linux 服务 器 中 新 增 了 一 块 硬盘 /dev/sdb, 要 求 Linux 系统 的 分 区 能 自动 调 
整 磁盘 容量 。 请 使 用 fdisk 命令 新 建 /dev/sdbl、/dev/sdb2、/dev/sdb3 和 /dev/sdb4 为 
LVM 类 型 ,并 在 这 4 个 分 区 上 创建 物理 卷 . 卷 组 和 逻辑 卷 ; 最 后 将 逻辑 卷 挂 载 。 

4. 做 一 做 

根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效果 。 


项 目 实录 四 : 动态 磁盘 管理 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 实 训 目 的 及 内 容 
掌握 Linux 系统 中 利用 RAID 技术 实现 磁盘 阵列 的 管理 方法 。 


; 
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3. 项 目 背景 
某 企 业 为 了 保护 重要 数据 ,购买 了 4 块 同一 厂家 的 SCSI 硬盘 。 要 求 在 这 4 块 硬盘 上 创 
建 RAID 5 卷 ,以 实现 磁盘 容错 。 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 , 检 查 学 习 效 果 。 


5.6 实 训 : 文件 系统 和 磁盘 管理 


1. 实 训 目的 及 内 容 

(1) 掌握 Linux 下 磁盘 管理 的 方法 。 

(2) 掌握 文件 系统 的 挂 载 与 和 卸载 的 方法 。 
(3) 掌握 磁盘 限额 与 文件 权限 管理 的 方法 。 


2. 实 训 环境 

在 虚拟 机 相应 操作 系统 的 硬盘 剩余 空间 中 ,用 {fdisk 命令 创建 两 个 分 区 ,分 区 类 型 分 别 
为 fat32 和 Linux; 再 用 mkfs 命令 在 上 面 分 别 创建 vfat 和 ext3 文件 系统 ;然后 用 fsck 命令 
检查 这 两 个 文件 系统 ;最 后 把 这 两 个 文件 系统 挂 载 到 系统 上 。 


3. 实 训 练习 

(1) 使 用 fdisk 命令 进行 硬盘 分 区 。 

以 root 用 户 登 录 到 系统 字符 界面 下 ,输入 fdisk 命令 ,把 要 进行 分 区 的 硬盘 设备 文件 
作为 参数 ,例如 fdisk /dev/sda。 

。 利用 子 命令 m 列 出 所 有 可 使 用 的 子 命令 。 

。 输入 子 命令 bp, 显示 已 有 的 分 区 表 。 

输入 子 命令 n, 创 建 扩展 分 区 。 

。 输入 子 命令 n, 在 扩展 分 区 上 创建 新 的 分 区 。 

。 输入 子 命令 1, 选 择 创建 逮 辑 分 区 。 

。 输入 新 分 区 的 起 始 扇 区 号 , 按 Enter 键 使 用 默认 值 。 

。 输入 新 分 区 的 大 小 。 

。 再 次 利用 子 命 令 n 创建 男 一 个 逻辑 分 区 ,将 硬盘 所 有 剩余 空间 都 分 配给 它 。 
。 输入 子 命令 p, 显 示 分 区 表 , 查 看 新 创建 好 的 分 区 。 

。 输入 子 命令 1, 显示 所 有 的 分 区 类 型 的 代号 。 

。 输入 子 命令 t, 设 置 分 区 的 类 型 。 

。 输入 要 设置 分 区 类 型 的 分 区 代号 ,其 中 fat32 为 b,Linux 为 83。 

。 输入 子 命令 p, 查 看 设置 结果 。 

。 输入 子 命令 w, 把 设置 写 人 硬盘 分 区 表 , 退 出 fdisk 并 重新 启动 系统 。 
(2) 用 mkfs 创建 文件 系统 。 

在 上 述 刚刚 创建 的 分 区 上 创建 ext3 文件 系统 和 vfat 文件 系统 。 

(3) 用 fsck 检查 文件 系统 。 

(4) 挂 载 和 务 载 文 件 系统 。 
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利用 mkdir 命令 ,在 /mnt 目录 下 建立 挂 载 点 mountpointl 和 mountpoint2 。 

利用 mount 命令 列 出 已 经 挂 载 到 系统 上 的 分 区 。 

。 把 上 述 新 创建 的 ext3 分 区 挂 载 到 /mnt/mountpointl 上 。 

。 把 上 述 新 创建 的 vfat 分 区 挂 载 到 /mnt/mountpoint2 上 。 

。 利用 mount 命令 列 出 挂 载 到 系统 上 的 分 区 ,查看 挂 载 是 否 成 功 。 

利用 umount 命令 印 载 上 面 的 两 个 分 区 。 

利用 mount 命令 查看 印 载 是 否 成 功 。 

。 编辑 系统 文件 /etc/fstab, 把 上 面 两 个 分 区 加 入 此 文件 中 。 

。 重新 启动 系统 ,显示 已 经 挂 载 到 系统 上 的 分 区 ,检查 设置 是 否 成 功 。 

(5) 使 用 光盘 与 U 盘 。 

。 取 一 张 光 盘 放 和 人 光驱 中 ,将 光盘 挂 载 到 /media/cdrom 目录 下 。 

。 查看 光盘 中 的 文件 和 目录 列表 。 

。 印 载 光盘 。 

。 利用 与 上 述 相似 的 命令 完成 U 盘 的 挂 载 与 印 载 。 

(6) 磁盘 配额 。 

。 启动 Vi 编辑 /etc/fstab 文件 。 

。 为 /etc/fstab 文件 中 的 home 分 区 添加 用 户 和 组 的 磁盘 配额 。 

用 quotacheck 命令 创建 aquota. user 和 aquota. group 文件 。 

。 给 用 户 user01 设置 磁盘 配额 功能 。 

将 blocks 的 soft 设置 为 5000,hard 设置 为 10000; 将 inodes 的 soft 设置 为 5000， 
hard 设置 为 10000, 编 辑 完成 后 保存 并 退出 。 

。 重新 启动 系统 。 

。 用 quotaon 命令 启用 磁盘 配额 功能 。 

切换 到 用 户 user01, 查 看 自己 的 磁盘 配额 及 使 用 情况 。 

尝试 复制 大 小 分 别 超过 磁盘 配额 软 限制 和 硬 限制 的 文件 到 用 户 的 主 目录 下 ,检验 一 
下 磁盘 配额 功能 是 否 起 作用 。 

(7) 设置 文件 权限 。 

在 用 户主 目录 下 创建 目录 test, 进 入 test 目录 创建 空 文件 filel。 

以 长 格式 显示 文件 信息 .注意 文件 的 权限 和 所 属 用 户 与 组 。 

对 文件 filel 设置 权限 ,使 其 他 用 户 可 以 对 此 文件 进行 写 操 作 。 

查看 设置 结果 。 

取消 同 组 用 户 对 此 文件 的 读 取 权限 ,查看 设置 结果 。 

用 数字 形式 为 文件 filel 设置 权限 ,所 有 者 可 读 取 、 可 写 、 可 执行 ;其 他 用 户 和 所 属 组 
用 户 只 有 读 取 和 执行 的 权限 ,设置 完成 后 查看 设置 结果 。 

用 数字 形式 更 改 文件 filel 的 权限 ,使 所 有 者 只 能 读 取 此 文件 .其 他 任何 用 户 都 没有 
权限 ,查看 设置 结果 。 

为 其 他 用 户 添 加 可 写 权 限 ,查看 设置 结果 。 

回 到 上 层 目录 ,查看 test 的 权限 。 

为 其 他 用 户 添 加 对 此 目录 的 可 写 权限 。 
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(8) 改变 所 有 者 。 

。 查看 目录 test 及 其 中 文件 的 所 属 用 户 和 组 。 

。 把 目录 test 及 其 下 的 所 有 文件 的 所 有 者 改 成 bin, 所 属 组 改 成 daemon, 查 看 设置 
结果 。 

。 删除 目录 test 及 其 下 的 文件 。 

4. 实 训 报 告 

按 要 求 完成 实 训 报告 。 
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第 6 章 
DHCP 服务 器 配置 


DHCP 服务 器 是 常见 的 网 络 服务 器 。 本 章 将 详细 讲解 在 Linux 操作 平台 
下 DHCP 服务 器 的 配置 。 


。 了 解 DHCP 服务 的 工作 原理 。 


(4) 。 熟练 掌握 Linux 下 DHCP 服务 器 的 配置 。 
。 熟练 掌握 Linux 下 DHCP 客户 端的 配置 。 


6.1 了 解 DHCP 服务 


DHCP(Dynamic Host Configuration Protocol, 动 态 主 机 配置 协议 ) 是 ok 

-种 简化 主机 IP 地 址 分 配 管理 的 TCP/IP 标准 协议 ,是 通过 服务 器 集中 总 

管理 网 络 上 使 用 的 IP 地 址 及 其 他 相关 配置 信息 ,以 减少 管理 IP 地 址 配置 
的 复杂 性 。 


6.1.1 DHCP 服务 简介 


在 使 用 TCP/IP 协议 的 网 络 上 ,每 一 台 计 算 机 都 拥有 唯一 的 IP 地 址 。 使 用 IP 地 址 及 
其 子 网 掩 码 来 鉴别 它 所 在 的 主机 和 子 网 。 如 采用 静态 IP 地 址 的 分 配方 法 , 当 计 算 机 从 一 个 
子 网 移动 到 另 一 个 子 网 的 时 候 , 必 须 改变 该 计算 机 的 IP 地 址 ,这 将 增加 网 络 管理 员 的 负担 。 
而 DHCP 服务 可 以 将 DHCP 服务 器 中 的 IP 地 址 数据 库 中 的 IP 地 址 动态 地 分 配给 局 域 网 
中 的 客户 机 ,从 而 减轻 了 网 络 管理 员 的 负担 。 

在 使 用 DHCP 服务 分 配 IP 地 址 时 ,网 络 中 至 少 有 一 台 服 务 器 上 安装 了 DHCP 服务 ,其 
他 要 使 用 DHCP 功能 的 客户 机 也 必须 设置 成 通过 DHCP 获得 IP 地 址 。 客 户 机 在 向 服务 器 
请 求 一 个 IP 地 址 时 ,如 果 还 有 IP 地 址 没有 被 使 用 , 则 在 数据 库 中 登记 该 IP 地 址 已 被 该 客 
户 机 使 用 ,然后 回应 这 个 IP 地 址 及 相关 的 选项 给 客户 机 。 图 6-1 是 一 个 支持 DHCP 服务 的 
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日 


IP 地 址 数据 库 


本 地 网 络 


电 


图 6-1 支持 DHCP 服务 的 示意 图 


6.1.2 DHCP 服务 的 工作 原理 


1. DHCP 客户 首次 获得 IP 地 址 租约 
DHCP 客户 首次 获得 IP 地 址 租约 ,需要 经 过 以 下 4 个 阶段 与 DHCP 服务 器 建立 联系 ， 
如 图 6-2 所 示 。 


IP 地 址 租用 请 求 DHCPIS 抽 


DHCP | 
和 IP 地 址 租用 提供 训 
已 a 外 


IP 地 址 租用 确认 


1 


图 6-2 DHCP 工作 过 程 


(1) IP 租用 请 求 
IP 租用 请 求 也 被 称 为 IP 发 现 (IP Discover) 。 当 发 现 以 下 情况 中 的 任意 一 种 时 , 即 启动 
IP 地 址 租用 请 求 。 
。 当 客 户 端 第 一 次 以 DHCP 客户 端的 身份 启动 ,也 就 是 它 第 一 次 向 DHCP 服务 器 请 
求 TCP/IP 配置 时 。 
。 该 DHCP 客户 端 所 租用 的 IP 地 址 已 被 DHCP 服务 器 收回 ,并 已 提供 给 其 他 DHCP 
客户 端 使 用 ,而 该 DHCP 客户 端 重新 申请 新 的 IP 地 址 租约 时 。 
。 DHCP 客户 端 自己 释放 掉 原先 所 租用 的 IP 地址 ,并 且 要 求 租 用 一 个 新 的 IP 地 址 时 。 
。 客户 端 从 固定 IP 地 址 方式 转向 使 用 DHCP 方式 时 。 
在 应 用 IP 发 现 的 过 程 中 ,DHCP 客户 端 发 出 TCP/IP 配置 请 求 时 ,DHCP 客户 端 使 用 
0. 0. 0. 0 作为 自己 的 IP 地 址 ,255. 255. 255. 255 作为 服务 器 的 IP 地 址 ,然后 以 UDP 的 方式 
在 67 或 68 端口 广播 出 一 个 DHCPDISCOVER 信息 .该 信息 含有 DHCP 客户 端 网 卡 的 
MAC 地 址 和 计算 机 的 NetBIOS 名 称 。 当 第 一 个 DHCPDISCOVER 信息 发 送出 去 后 ， 
DHCP 客户 端 将 等 待 1s 的 时 间 。 如 果 在 此 期 间 内 没有 DHCP 服务 器 对 此 做 出 响应 ,DHCP 
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客户 端 将 分 别 在 第 9 秒 、 第 13 秒 和 第 16 秒 时 重复 发 送 一 次 DHCPDISCOVER 信息 。 如 果 
仍然 没有 得 到 DHCP 服务 器 的 应 答 ,DHCP 客户 端 就 会 在 以 后 每 隔 5min 广播 一 次 DHCP 
发 现 信息 ,直到 得 到 一 个 应 答 为 止 。 

(2) IP 地 址 租用 提供 

当 网 络 中 的 任何 一 个 DHCP 服务 器 在 收 到 DHCP 客户 端的 DHCPDISCOVER 信息 
后 ,都 会 对 自身 进行 检查 ,如 果 该 DHCP 服务 器 能 够 提供 空闲 的 IP 地 址 ,就 从 该 DHCP 服 
务 器 的 IP 地 址 池 中 随机 选取 一 个 没有 出 租 的 IP 地 址 ,然后 利用 广播 的 方式 提供 给 DHCP 
客户 端 。 在 还 没有 将 该 IP 地 址 正式 租用 给 DHCP 客户 端 之 前 ,这 个 IP 地 址 会 暂时 “隔离 ” 
起 来 ,以 免 再 分 配给 其 他 DHCP 客户 端 。 提 供应 答 信息 是 DHCP 服务 器 的 第 一 个 响应 , 它 
包含 了 IP 地址、 子 网 掩 码 、 租 用 期 和 提供 响应 的 DHCP 服务 器 的 IP 地 址 。 

(3) IP 地 址 租用 选择 

当 DHCP 客户 端 收 到 第 一 个 由 DHCP 服务 器 提供 的 应 答 信息 后 ,就 以 广播 的 方式 发 送 
一 个 DHCP 请 求 信息 给 网 络 中 所 有 的 DHCP 服务 器 。 在 DHCP 请 求 信 息 中 包含 已 选择 的 
DHCP 服务 器 返回 的 IP 地 址 。 

(4) IP 地 址 租用 确认 

一 旦 被 选择 的 DHCP 服务 器 接收 到 DHCP 客户 端的 DHCP 请 求 后 ,就 将 已 保留 的 这 
个 IP 地址 标识 为 已 租用 ,然后 也 以 广播 的 方式 发 送 一 个 DHCPACK 信息 给 DHCP 客户 端 。 
该 DHCP 客户 端 在 接收 DHCP 确认 信息 后 ,就 完成 了 获得 IP 地 址 的 整个 过 程 。 


2. DHCP 客户 更 新 IP 地 址 租约 

取得 IP 地 址 租约 后 ,DHCP 客户 机 必须 定期 更 新 租约 ,否则 当 租 约 到 期 ,就 不 能 再 使 用 
此 IP 地址。 按照 RFC 默认 规定 ,每 当 租 用 时 间 超 过 租约 的 50% 和 87. 5% 时 ,客户 机 就 必 
须发 出 DHCPREQUEST 信息 包 . 向 DHCP 服务 器 请 求 更 新 租约 。 在 更 新 租约 时 ,DHCP 
客户 机 是 以 单 点 发 送 的 方式 发 送 DHCPREQUEST 信息 包 , 不 再 进行 广播 。 

具体 过 程 如 下 : 

(1) 当 DHCP 客户 端的 IP 地 址 使 用 时 间 达 到 租 期 的 50% 时 , 它 就 会 向 DHCP 服务 器 
发 送 一 个 新 的 DHCPREQUEST; 若 服务 器 在 接收 到 该 信息 后 并 没有 可 拒绝 该 请 求 的 理由 
时 , 便 会 发 送 一 个 DHCPACK 信息 。 当 DHCP 客户 端 收 到 该 应 答 信息 后 ,就 会 重新 开始 一 
个 租用 周期 ;如 果 没 收 到 该 服务 器 的 回复 ,客户 机 继续 使 用 现 有 的 IP 地 址 ,因为 当前 租 期 还 
有 50%。 

(2) 如 果 在 租 期 过 去 50% 时 未 能 成 功 更 新 , 则 客户 机 将 在 当前 租 期 的 87. 5% 时 再 次 
与 为 其 提供 IP 地 址 的 DHCP 服务 器 联系 。 如 果 未 能 联系 成 功 , 则 重新 开始 IP 地 址 租用 
过 程 。 

(3) 如 果 DHCP 客户 机 重新 启动 时 , 它 将 尝试 更 新 上 次 关机 时 拥有 的 IP 地 址 租用 。 如 
果 更 新 未 能 成 功 ,客户 机 将 尝试 联系 现 有 的 IP 地 址 租用 中 列 出 的 默认 网 关 。 如 果 联 系 成 功 
且 租 用 尚未 到 期 ,客户 机 则 认为 自己 仍然 位 于 与 它 获得 现 有 IP 地 址 租用 时 相同 的 子 网 上 
(没有 被 移 走 ) 继 续 使 用 现 有 的 IP 地 址 。 如 果 未 能 与 默认 网 关联 系 成 功 ,客户 机 则 认为 自己 
已 经 被 移 到 不 同 的 子 网 上 , 则 DHCP 客户 机 将 失去 TCP/IP 网 络 功 能 。 此 后 ,DHCP 客户 
机 将 每 隔 5min 尝试 一 次 重新 开始 新 一 轮 的 IP 地 址 租用 过 程 。 
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6.2 安装 与 配置 DHCP 服务 


本 节 主 要 介绍 DHCP 服务 的 安装 ,配置 与 启动 等 内 容 。 
6.2.1 安装 DHCP 服务 
(1) 先 检测 系统 是 否 已 经 安装 了 DHCP 相关 软件 。 


[root@serverl ~ #1Em -qa| grep dhcp 
(2) 如 果 系 统 还 没有 安装 DHCP 软件 包 , 可 以 使 用 yum 命令 安装 所 需 软 件 包 。 


如 果 能 够 连接 互联 网 ,并 且 有 较 高 网 速 , 则 可 以 直接 使 用 系统 自 带 的 yum 源 
文件 ,不 需要 单独 编辑 yum 源 文 件 。 如 果 要 使 用 本 地 yum 源 ,请 参考 4. 6. 1 
说 明 小 节 。 


[root@ serverl ~ ]# Yum info dhcp 
[root@serverl ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@serverl ~ ]# yum install dhcp -y 


软件 包 安 装 完毕 后 ,可 以 使 用 rpm 命令 再 一 次 进行 查询 , 即 rpm -qa | grep dhcp。 结 果 


[root@ serverl iso]# Em -qa | grep dhcp 
dhcp- libs- 4.2.5- 68.e17.0entos.1.x86 64 
dhcp- 4.2.5- 68.e17.0entos.1.x86 64 

dhcp- commcn- 4.2.5- 68.el7.centos.1.x86 64 


6.2.2 配置 DHCP 主 配置 文件 


1. 基本 的 DHCP 服务 器 搭建 流程 

(1) 编辑 主 配置 文件 /etc/dhcp/dhcpd. conf ,指定 IP 作用 域 ( 指 定 一 个 或 多 个 IP 地 址 
范围 ) 。 

(2) 建立 租约 数据 库 文件 。 

(3) 重新 加 载 配置 文件 或 重新 启动 dhcpd 服务 使 配置 生效 。 


2. DHCP 工作 流程 

DHCP 工作 流程 如 图 6-3 所 示 。 

@ 客户 端 发 送 广播 向 DHCP 服务 器 申请 IP 地 址 。 

@ DHCP 服务 器 收 到 请 求 后 查看 主 配置 文件 dhcpd. conf。 先 根据 客户 端的 MAC 地址 
查看 是 否 为 客户 端 设置 了 固定 IP 地 址 。 

@ 如 果 为 客户 端 设 置 了 固定 的 IP 地 址 . 则 将 该 IP 地 址 发 送 给 客户 端 ;如 果 没 有 设置 固 
定 的 卫 地 址 , 则 将 地 址 池 中 的 卫 地 址 发 送 给 客户 端 。 
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= 主 配置 文件 


dhcpd.conf 
客户 端 地 - EB 


马 。 ~ 租约 数据 库 文件 


图 6-3 DHCP 工作 流程 


@@ 客户 端 收 到 DHCP 服务 器 回应 后 ,客户 端 给 予 DHCP 服务 器 回应 ,告诉 DHCP 服务 
器 已 经 使 用 了 分 配 的 IP 地址。 
@ DHCP 服务 器 将 相关 租约 信息 存 人 数据 库 。 


3. 主 配 置 文件 dhcpd. conf 

(1) 复制 样 例文 件 到 主 配 置 文件 

默认 主 配置 文件 (/etc/dhcp/dhcpd. conf) 没 有 任何 实质 内 容 , 打 开 查 阅 ,发 现 里 面 的 内 
容 为 “see /usr/share/doc/dhcp * /dhcpd. conf. example”。 我 们 以 样 例 文件 为 例 讲解 主 配置 
文件。 

(2) dhcpd. conf 主 配置 文件 的 组 成 部 分 

。 parameters( 人 参数 ) 

。 declarations( 声 明 ) 

。 option( 选 项 ) 

(3) dhcpd. conf 主 配置 文件 的 整体 框架 

dhcpd. conf 包括 全 局 配置 和 局 部 配置 。 全 局 配置 可 以 包含 参数 或 选项 ,该 部 分 对 整个 
DHCP 服务 器 生效 ;局 部 配置 通常 由 声明 部 分 来 表示 ,该 部 分 仅 对 局 部 生效 ,比如 只 对 某 个 
IP 作用 域 生效 。 

dhcpd. conf 文件 的 格式 如 下 : 


# 全 局 配置 
参数 或 选项 ; 才 全 局 生效 
# 局 部 配置 
声明 { 
参数 或 选项 ; # 局 部 生效 


} 


dhcp 范本 配置 文件 内 容 包 含 了 部 分 参数 、 声 明 以 及 选项 的 用 法 ,其 中 注释 部 分 可 以 放 
在 任何 位 置 ,并 以 *# ”开头 。 当 一 行内 容 结束 时 ,以 “;” 号 结束 ,大 括号 所 在 行 除外 。 

可 以 看 出 整个 配置 文件 分 成 全 局 和 局 部 两 个 部 分 ,但 是 并 不 容易 看 出 哪些 属于 参数 , 哪 
些 属于 声明 和 选项 。 


4. 常用 参数 介绍 
参数 主要 用 于 设置 服务 器 和 客户 端的 动作 或 者 是 否 执行 某 些 任务 ,比如 设置 IP 地 址 租 
约 时 间 ,是否 检查 客户 端 所 用 的 IP 地 址 等 ,如 表 6-1 所 示 。 
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表 6-1 dhcpd 服务 程序 配置 文件 中 使 用 的 常见 参数 以 及 作用 


参 数 作 用 
ddne-update style [类 型] 定义 DNS 服务 动态 更 新 的 类 型 ,类 型 包括 none( 不 支持 动态 
更 新 ) .interim( 互 动 更 新 模式 ) 与 ad-hoc( 特 殊 更 新 模式 ) 
[allow | ignore] client-updates 允许 /忽略 客户 端 更 新 DNS 记录 
default-lease-time 600 默认 超时 时 间 , 单 位 是 秒 
max-lease-time 7200 最 大 超时 时 间 ,单位 是 秒 
option domain-name-servers 192. 168. 10. 1 | 定义 DNS 服务 器 地 址 
option domain-name "domain. org" 定义 DNS 域名 
range 192. 168. 10. 10 192. 168. 10. 100 定义 用 于 分 配 的 IP 地 址 池 
option subnet-mask 255. 255. 255. 0 定义 客户 端的 子 网 掩 码 
option routers 192. 168. 10. 254 定义 客户 端的 网 关 地 址 
broadcase-address 192. 168. 10. 255 定义 客户 端的 广播 地 址 
ntp-server 192. 168. 10. 1 定义 客户 端的 网 络 时 间 服 务 器 (NTP) 
nis-servers 192. 168. 10. 1 定义 客户 端的 NIS 域 服务 器 的 地 址 
Hardware 00:0c:29:03:34:02 指定 网 卡 接口 的 类 型 与 MAC 地 址 
server-name mydhcp. smile. com 向 DHCP 客户 端 通知 DHCP 服务 器 的 主机 名 
fixed-address 192. 168. 10. 105 将 某 个 固定 的 IP 地 址 分 配给 指定 主机 
time-offset[ 偏 移 误差 ] 指定 客户 端 与 格林 尼 治 时 间 的 偏 移 差 


5. 常用 声明 介绍 
声明 一 般 用 来 指定 IP 作用 域 .定义 为 客户 端 分 配 的 IP 地 址 池 等 。 
声明 格式 如 下 : 


声明 { 


选项 或 参数 ; 
} 


常用 声明 的 使 用 如 下 : 


subnet 网 络 号 netmask 子 网 掩 码 {...} 


作用 : 定义 作用 域 ,指定 子 网 。 
例如 : 


subnet 192.168.10.0 ”metmask 255.255.255.0 { 


国 网 络 号 必须 与 DHCP 服务 器 的 至 少 一 个 网 络 号 相同 。 


作用 : 指定 动态 IP 地 址 范围 。 
例如 : 


6. 常用 选项 介绍 

选项 通常 用 来 配置 DHCP 客户 端的 可 选 参数 ,比如 定义 客户 端的 DNS 地 址 .默认 网 关 
等 。 选 项 内 容 都 是 以 option 关键 字 开始 的 。 

常见 选项 的 用 法 如 下 : 


作用 : 为 客户 端 指定 默认 网 关 。 
例如 : 


作用 : 设置 客户 端的 子 网 掩 码 。 
例如 : 


作用 : 为 客户 端 指定 DNS 服务 器 地 址 。 
例如 : 
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7. IP 地 址 绑 定 

在 DHCP 中 的 耳 地 址 绑 定 用 于 给 客户 端 分 配 固定 IP 地 址 。 比 如 服务 器 需要 使 用 固定 
IP 地 址 就 可 以 使 用 IP 地 址 绑 定 , 通 过 MAC 地 址 与 IP 地 址 的 对 应 关系 为 指定 的 物理 地 址 
计算 机 分 配 固定 的 IP 地 址 。 

整个 配置 过 程 需要 用 到 host 声明 和 hardware ,fixed-address 参数 。 


host 主机 名 {..} 


作用 : 用 于 定义 保留 地 址 。 
例如 : 


host cputerl 


闫 | 该 项 通常 搭配 subnet 声明 使 用 。 
注意 


hardware 类 型 硬件 地 址 


作用 : 定义 网 络 接 口 类 型 和 硬件 地 址 。 常 用 类 型 为 以 太 网 (ethernet) ,地 址 为 MAC 地 址 。 
例如 : 


hardware ethernet 3a:b5:0d:32:65:12 
fixedaddress ”TIP 地 址 


作用 : 定义 DHCP 客户 端 指定 的 IP 地 址 。 
例如 : 


fixed- addiress 192.168.10.105 


国 后 面 两 项 只 能 应 用 于 host 声明 中 。 


es 
注 意 


8. 租约 数据 库 文件 

租约 数据 库 文件 用 于 保存 一 系列 的 租约 声明 ,其 中 包含 客户 端的 主机 名 、MAC 地 址 、 分 
配 到 的 IP 地址 ,以 及 IP 地址 的 有 效 期 等 相关 信息 。 这 个 数据 库 文件 是 可 编辑 的 ASCII 格 
式 文本 文件 。 每 当 发 生 租 约 变化 时 ,都 会 在 文件 结尾 添加 新 的 租约 记录 。 

DHCP 刚 安装 好 后 ,租约 数据 库 文件 dhcpd. leases 是 个 空 文件 。 

当 DHCP 服务 正常 运行 后 就 可 以 使 用 cat 命令 查看 租约 数据 库 文件 的 内 容 了 。 
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cat /var/lib/dhopd/dhcpd.leases 


6.3 配置 DHCP 服务 器 应 用 案例 


现在 完成 一 个 简单 的 应 用 案例 。 


1. 案例 需求 

某 单位 技术 部 有 60 台 计 算 机 ,各 计算 机 的 IP 地 址 要 求 如 下 。 

(1) DHCP 服务 器 和 DNS 服务 器 的 地 址 都 是 192. 168. 10. 1/24, 有 效 IP 地 址 段 为 192. 
168. 10. 1 一 192. 168. 10. 254, 子 网 掩 码 是 255. 255. 255. 0 ,网关 为 192. 168. 10. 254 。 

(2) 192. 168. 10. 1 一 192. 168. 10. 30 网 段 地 址 是 服务 器 的 固定 地 址 。 

(3) 客户 端 可 以 使 用 的 地 址 段 为 192. 168. 10. 31 一 192. 168. 10. 200, 但 192. 168. 10. 
105、192. 168. 10. 107 为 保留 地 址 。 其 中 192. 168. 10. 105 保留 给 Client2 。 

(4) 客户 端 Clientl 模拟 所 有 的 其 他 客户 端 , 采 用 自动 获取 方式 配置 IP 等 地 址 信息 。 


2. 网 络 环境 搭建 
Linux 服务 器 和 客户 端的 地 址 及 MAC 信息 如 表 6-2 所 示 ( 可 以 使 用 VM 的 克隆 技术 快 
速 安装 需要 的 Linux 客户 端 ) 。 


表 6-2 Linux 服务 器 和 客户 端的 地 址 及 MAC 信息 


主机 名 称 操作 系统 IP 地 址 MAC 地 址 
DHCP 服务 器 : Serverl CentOS 7 192. 168. 10. 1 00:0c:29:a4:81:bf 
Linux 客户 端 : Clientl CentOS 7 自动 获取 00:0c:29:6b:0c:b4 
Linux 客户 端 : Client2 RHEL7 保留 地 址 00:0c:29:89:f3:e5 


2 台 计 算 机 安装 CentOS 7. 4,1 台 安 装 RHEL 7.4, 联 网 方式 都 设 为 host onlyC(VMnetl) ， 
1 台 作为 服务 器 ,2 台 作为 客户 端 使 用 。 如 果 3 台 全 安装 CentOS 7 也 不 会 有 任何 影响 。 


3. 服务 器 端 配置 

(1) 定制 全 局 配置 和 局 部 配置 ,局 部 配置 需要 把 192. 168. 10. 0/24 网 段 声明 出 来 ,然后 
在 该 声明 中 指定 一 个 IP 地 址 池 ,范围 为 192. 168. 10. 31 一 192. 168. 10. 200, 但 要 去 掉 192. 
168. 10. 105 和 192. 168. 10. 107, 其 他 分 配给 客户 端 使 用 。 

(2) 要 保证 使 用 固定 IP 地 址 ,就 要 在 subnet 声明 中 骨 套 host 声明 ,目的 是 要 单独 为 
Client2 设置 固定 的 IP 地 址 ,并 在 host 声明 中 加 入 IP 地 址 和 MAC 地 址 绑 定 的 选项 以 申请 
固定 IP 地 址 。 全 部 配置 文件 内 容 如 下 


dns- Updater- style none; 

1og- facility local7; 

Subnet 192.168.10.0 netmask 255.255.255.0 { 
range 192.168.10.31 192.168.10.104; 
Iange 192.168.10.106 192.168.10.106; 
Iange 192.168.10.108 192.168.10.200; 
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ption domain- namer- servers 192.168.10.1; 
cption domain— name "myDHCP.smile.om"; 
ption routers 192.168.10.254; 
cption broadcast— address 192.168.10.255; 
default— lease— time 600; 
max— lease— time 7200; 
} 
host Client2{ 
hardware ethernet :0c:29:89:f3:e5; 
fixed- address 192.168.10.105; 
} 


(3) 配置 完成 , 则 保存 文件 内 容 并 退出 ,重启 dhcpd 服务 ,并 设置 开机 自动 启动 。 


[root@serverl ~ ]# systemctl restart dhcpd 
[root@serverl ~ ]# systemctl enable dhcpd 
Created symlink fram /etc/systemd/system/mlti - user. target. wants/dhcpd. service to /usr/lib/systemd/ 


图 如 果 启 动 DHCP 失败 ,可 以 使 用 dhcpd 命令 进行 排 错 , 一 般 启 动 失败 的 原因 
如 下 : 


注意 @ 配置 文件 有 问题 。 

。 内 容 不 符合 语法 结构 ,例如 少 个 分 号 。 

。 声明 的 子 网 和 子 网 掩 码 不 符合 。 

加 主机 IP 地址 和 声明 的 子 网 不 在 同一 网 段 。 

@ 主机 没有 配置 IP 地 址 。 

图 配置 文件 路 径 出 问题 ,比如 在 RHEL 6 以 下 的 版 本 中 ,配置 文件 保存 在 / 
etc/dhcpd. conf 中 ,但 是 在 RHEL 6 及 以 上 版 本 中 却 保存 在 /etc/dhcp/dhcpd. 
conf 中 。 


4. 在 客户 端 Clientl 上 进行 测试 

即使 在 真实 网 络 中 应 该 不 会 出 问题 ,但 如 果 你 用 的 是 VMware 12 或 其 他 类 似 版 本 , 虚 
拟 机 中 的 Windows 客户 端 可 能 会 获取 192. 168. 79. 0 网 络 中 的 一 个 地 址 ,与 我 们 预期 的 目 
标 相 背 。 这 种 情况 就 需要 关闭 VMnet8 和 VMnetl 的 DHCP 服务 功能 。 解 决 方法 如 下 。 
(本 项 目的 服务 器 和 客户 机 的 网 络 连接 都 使 用 VMnetl。) 

(1) 在 VMware 主 窗口 中 选择 “编辑 -虚拟 网 络 编辑 器 ”命令 ,打开 “虚拟 网 络 编辑 
器 ?对 话 框 , 选 中 VMnetl 或 VMnet8 ,不 选中 “使 用 本 地 DHCP 服务 将 IP 地 址 分 配给 虚拟 
机 ”选项 ,如 图 6-4 所 示 。 

(2) 以 root 用 户 身 份 登录 名 为 Clientl 的 Linux 计算 机 ,查看 右上 角 网 络 连接 的 情况 。 
如 果 右 上 和 角 显 示 图 标 虽 .表示 网 络 正 常 连接 ;和 否则 单 击 右 上 角 的 图 标 [ 辆 .显示 如 图 6-5 所 示 
的 窗口 ,选择 “有 线 已 关闭 ”选项 并 单 击 “ 连 接 ” 按 钮 使 网 络 正常 连接 。 
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奥 店 拟 网 络 编辑 器 x 
名 称 类 型 外 部 连接 主机 连接 DHCP 子 网 地 址 
VMnet0 。 桥接 模式 “自动 桥接 
VMnetl - 


仅 主 机 已 连接 [一 一 一 192.168.111.0 


VMnet 信息 
〇 桥接 模式 ( 插 虚拟 机 直接 连接 到 外 部 阿 络 )B) 
YM ss 3 
@ NAT 模式 (与 虚拟 机 共享 主机 的 了 地 bbN) NAT 设置 (5).… 
O 〇 仅 主机 模式 (在 专用 网 络 内 连接 虚拟 机 ) 人 0) 
回 将 主机 虚拟 适配器 连接 到 此 网 络 W) 
主机 虚拟 适配器 名 称 : VMware 网 络 适配器 vMnets 
口 使 用 本 地 DHCP 服务 将 瑟 地 址 分 配给 虚拟 机 (D) DHCP 设置 P)… 


子 网 久 (0: | 192 .168 .227. 0 子 网 搞 码 (M): | 255 .255 .255 . 0 


远 要 里 认 设置 民 ) 已 枉 ][ 9 DER 1]L 孝 W | 


图 6-4 “虚拟 网 络 编辑 器 ”对 话 框 


(3) 单 击 图 6-5 中 的 “有 线 设 置 ” 选 项 ,或 者 依次 选择 “应 用 程序 ”一 “系统 工具 ”一 “ 设 
置 ” 一 网络” 命令 ,打开 “网络 ? 对 话 框 , 如 图 6-6 所 示 。 


可 设置 | 网 络 到 x 
星期 四 12 : 02 时 起 一 区 域 和 语言 
有 线 连接 SS + 
各 通用 辅助 功能 
| em-mm ED 加 
部 在 线 幅 号 
枉 隐私 VPN 到 
< | | Notset up 
VPN 已 关闭 » 医生 
on » 
Network Proxy 关 
@ 定位 服务 正 被 使 用 全 电源 | 国 | 
i "| EE 
所 设备 > 
加 详细 信息 > 
图 6-5 设置 有 线 连 接 图 6-6 “网 络 ” 对 话 框 


(4) 单 击 图 6-6 中 的 “齿轮 ”图 标 ,在 弹出 的 “ 有线” 对 话 框 中 单 击 IPv4, 并 将 IPv4 
Method 选项 配置 为 “自动 (DHCP)”, 最 后 单 击 “ 应 用 ”按钮 .如 图 6-7 所 示 。 

(5) 在 图 6-8 中 先 选择 “关闭 ”选项 来 关闭 有线” 功能 ,再 选择 “打开 ”选项 来 打开 “有 线 ” 
功能 。 


IPv4 Method 图 自动 (DHCP) 和 @ 公 本 地 链 路 


生 手 动 © Disable 


DNS a 动 EE | 


Separate IP addresses with commas 


mt sv 


地 址 子 网 撞 码 网 关 Metric 


器 


国 仅 对 该 网 络 上 的 资源 使 用 此 连接 (0O) 


图 6-7 选中 “自动 (DHCP)” 选 项 


图 6-8 ”选择 “关闭 ”及 “打开 ”选项 


(6) 单 击 图 6-8 中 的 “齿轮 "图标, 弹出 图 6-9 所 示 的 窗口 ,表明 Clientl 成 功 获取 了 


DHCP 服务 器 地 址 池 中 的 一 个 地 址 。 
5. 在 客户 端 Client2 上 进行 测试 


同样 以 root 用 户 身份 登录 名 为 Client2 的 Linux 计算 机 , 按 在 客户 端 Clientl 上 进行 测 


试 的 方法 ,设置 Client 自动 获取 IP 地 址 ,最 后 的 结果 如 图 6-10 所 示 。 
6. Windows 客户 端 配 置 


(1) Windows 客户 端 配置 比较 简单 ,在 TCP/IP 协议 属性 中 设置 自动 获取 功能 就 可 以 。 
(2) 在 Windows 命令 提示 符 下 ,利用 ipconfig 命令 释放 IP 地 址 后 再 重新 获取 IP 地 址 。 


。 释放 IP 地 址 : ipconfig /release; 
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链 路 速度 1000 Mb/s 
IPv4 地 址 [152.158.10.33 


IPv6 地 址 fe80::81fa:4226:9c74:d0d8 
硬件 地 址 00:0C:29:6B:0C:B4 
默认 路 由 | 192.168.10.254 


DNS |192.168.10.1 


国 自动 连接 (A) 
图 对 其 他 用 户 可 用 (O) 


图 6-9 DHCP 客户 端 成 功 获取 IP 地 址 等 信息 


Network | 
Wired 
Connected - 1000 Mbs [~ |) 
IPv4 Address [192.168.10.105 | 
IPv6 Address fe80::4552:1294:af20:24c6 
Hardware Address [OTOC:25:03:34:02 | 


Default Route 192.168.10.254 
DNS 192.168.10.1 


| Eee 加 


图 6-10 客户 端 Client2 成 功 获 取 IP 地 址 


。 重新 申请 IP 地 址 : ipconfig /renew。 
7. 在 服务 器 Serverl 端 查看 租约 数据 库 文件 


[root@ serverl ~ ]# cat /var/lib/dhcpdy/dhcpd.leases 


6.4 练习 题 


一 、 填空 题 

1. DHCP 工作 过 程 包 括 和 4 种 报 文 。 

2. 如 果 DHCP 客户 端 无 法 获得 IP 地 址 .将 自动 从 地 址 段 中 选择 一 个 作为 自 
己 的 地 址 。 
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3. 在 Windows 环境 下 ,使 用 命令 可 以 查看 IP 地 址 配置 ,使 用 命令 可 
以 释放 IP 地址 ,使 用 命令 可 以 续 租 IP 地 址 。 

4. DHCP 是 一 个 简化 主机 IP 地 址 分 配 管理 的 TCP/IP 标准 协议 ,英文 全 称 是 
;中文 名 称 为  。 

5. 当 客户 端 注意 到 它 的 租用 期 到 了 以 上 时 ,就 要 更 新 该 租用 期 。 这 时 它 发 送 
一 个 信息 包 给 它 所 获得 原始 信息 的 服务 器 。 

6. 当 租用 期 达到 期 满 时 间 的 时 ,客户 端 如 果 在 前 一 次 请 求 中 没 能 更 新 租用 


期 , 它 会 再 次 试图 更 新 租用 期 。 
7. 配置 Linux 客户 端 需要 修改 网 卡 配 置 文件 ,将 BOOTPROTO 项 设置 为 __ 


二 、 选择 题 
1. 在 TCP/IP 中 ,(  ”) 协 议 是 用 来 进行 IP 地 址 自动 分 配 的 。 
A. ARP B. NFS C. DHCP D. DDNS 
2. DHCP 租约 文件 默认 保存 在 ( ) 目 录 中 。 
A. /etc/dhcp B. /var/log/dhcpd 
C. /var/log/dhcp D. /var/lib/dhcp 
3. 配置 完 DHCP 服务 器 ,运行 ( ) 命 令 可 以 启动 DHCP 服务 。 
A. service dhcpd start B. /etc/rc. d/init. d/dhcpd start 
C. start dhcpd D. dhcpd on 
三 、 实践 题 


架设 一 台 DHCP 服务 器 ,并 按照 下 面 的 要 求 进行 配置 。 

(1) 为 192. 168. 203. 0/24 建立 一 个 IP 作用 域 , 并 将 192. 168. 203. 60 一 192. 168. 203. 
200 范围 内 的 IP 地 址 动态 分 配给 客户 机 。 

(2) 假设 子 网 的 DNS 服务 器 的 IP 地 址 为 192. 168. 0. 9 ,网 关 为 192. 168. 203. 254 ,所 在 
的 域 为 jnrp. edu. cn, 将 这 些 参数 指定 给 客户 机 使 用 。 


6.5 项 目 实录 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观看 视频 。 


2. 项 目 背 景 

(1) 某 企业 计划 构建 一 台 DHCP 服务 器 来 解决 IP 地 址 动态 分 配 的 问题 ,要求 能 够 分 配 
IP 地 址 以 及 网 关 、DNS 等 其 他 网 络 属性 信息 ,同时 要 求 DHCP 服务 器 为 DNS、Web、Samba 
服务 器 分 配 固定 IP 地 址 。 该 公司 网 络 拓 扑 如 图 6-11 所 示 。 

企业 DHCP 服务 器 IP 地 址 为 192. 168. 1. 2。DNS 服务 器 的 域名 为 dns. jnrp. cn,IP 地 
址 为 192. 168. 1. 3; Web 服务 器 IP 地 址 为 192. 168. 1. 10;Samba 服务 器 IP 地 址 为 192. 168. 
1.5; 网 关 地 址 为 192. 168. 1. 254; 地 址 范围 为 192. 168. 1. 3 一 192. 168. 1. 150 , 掩 码 为 255. 
255: 255.105 
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人 
uy 


Samba DNS 


Web 
192.168.1.10 192.168.1.5 dns.jnrp.cn 
192.168.1.3 


> 


Client_i+1 Client 产 1 Client n 


Switch 


DHCP: 192.168.1.2 
DNS: dnsjnrp.cn.192.168.1.3 

Web: 192.168.1.10 

Samba: 192.168.1.5 

GateWay: 192.168.1.254 

IP Pool: 192.168.1.3/24~192.168.1.150/24 


Client_ 1 Client 2 Client i 


DHCP-Server 
192.168.1.2 


图 6-11 DHCP 服务 器 搭建 网 络 拓扑 


(2) 配置 DHCP 超级 作用 域 。 
企业 内 部 建立 DHCP 服务 器 ,网 络 规划 采用 单 作用 域 的 结构 并 使 用 192. 168. 1. 0/24 


网 段 的 IP 地 址 。 随 着 公司 规模 的 扩大 及 设备 数量 的 增多 , 现 有 的 IP 地址 已 无 法 满足 网 
络 的 需求 ,需要 添加 可 用 的 PP 地址 。 这 时 我 们 可 以 使 用 超级 作用 域 完 成 增加 IP 地 址 的 
目的 ,在 DHCP 服务 器 上 添加 新 的 作用 域 ,使 用 192. 168. 8. 0/24 网 段 扩 展 网 络 地 址 的 


范围 。 
该 公司 网 络 拓扑 如 图 6-12 所 示 ( 注 意 各 虚拟 机 网 卡 的 不 同 网 络 连接 方式 ) 。 


角色 : 网 关 服 务 器 、 双 网 卡 
主机 名 : RHEL 7-2 

IP 地 址 1 (VMnet1) : 192.168.1.254/24 
JP 地 址 2(VMnet8) : 192.168.8.254/24 


操作 系统 : RHEL 7 


角色 : DHCP 客 户 端 


主机 名 : Clientl 
IP 地 址 (VMnet1) : 自动 获取 


操作 系统 : RHEL 7 


角色 : DHCP 客 户 端 
主机 名 : Client2 
IP 地 址 (VMnet8) : 自动 获取 


操作 系统 : RHEL 7 


角色 : DHCP 服 务 器 
主机 名 : RHEL 7-1 
IP 地 址 (VMnet1) : 192.168.1.1/24 
作用 域 1 : 192.168.1.10~192.168.1.254 
作用 域 2: 192.168.8.10~192.168.8.254 


操作 系统 : RHEL 7 


6-12 配置 超级 作用 域 网 络 拓扑 
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(3) 配置 DHCP 中 继 代理 。 
公司 内 部 存在 两 个 子 网 ,分 别 为 192. 168. 1. 0/24 和 192. 168. 3.0/24, 现 在 需要 使 用 一 
台 DHCP 服务 器 为 这 两 个 子 网 客户 机 分 配 IP 地 址 。 该 公司 的 网 络 拓扑 如 图 6-13 所 示 。 


A ie a 

主机 名 ，Clientl 192.168.3.254/24 192.168.1.254124 

IP 地 址 (VMnet8) : 动态 获取 本 SYM: td 
操作 系统 : RHEL 7 系统 : 


角色 : 网 关 服 务 器 、 双 网 卡 、DHCP 中 继 代 理 服务 器 
主机 名 : RHEL 7-2 

IP 地 址 1 (VMnet1) : 192.168.1.254/24 

IP 地 址 2(VMnet8) : 192.168.3.254/24 

操作 系统 : RHEL 7 


图 6-13 配置 中 继 代 理 网 络 拓扑 


3. 深度 思考 

在 观看 视频 时 思考 以 下 几 个 问题 。 

(1) DHCP 软件 包 中 哪些 是 必需 的 ? 哪些 是 可 选 的 ? 

(2) DHCP 服务 器 的 范本 文件 如 何 获得 ? 

(3) 如 何 设置 保留 地 址 ? 进行 host 声明 的 设置 时 有 何 要 求 ? 
(4) 超级 作用 域 的 作用 是 什么 ? 

(5) 配置 中 继 代理 要 注意 哪些 问题 7 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 , 检 查 学 习 效 果 。 


6.6 实 训 : DHCP 服务 器 配置 


1. 实 训 目的 及 内 容 

掌握 Linux 下 DHCP 服务 器 及 DHCP 中 继 代理 的 安装 和 配置 方法 。 
2. 实 训练 习 

(1) DHCP 服务 器 的 配置 

配置 DHCP 服务 器 ,为 子 网 A 内 的 客户 机 提供 DHCP 服务 。 具 体 参数 如 下 。 
。 IP 地 址 段 : 192. 168. 11. 101 一 192. 168. 11. 200; 

。 子 网 掩 码 : 255. 255. 255. 0; 

。 网 关 地 址 : 192. 168. 11. 254; 

。 域名 服务 器 : 192. 168. 0. 1; 

。 子 网 所 属 域 的 名 称 : jnrp. edu. cn; 

。 默认 租约 有 效 期 : 1 天 ; 
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。 最 大 租约 有 效 期 : 3 天 。 

(2) DHCP 中 继 代理 的 配置 

配置 DHCP 服务 器 和 中 继 代理 ,使 子 网 A 内 的 DHCP 服务 器 能 够 同时 为 子 网 A 和 子 
网 B 提供 DHCP 服务。 为 子 网 A 内 的 客户 机 分 配 的 网 络 参数 同上 ,为 子 网 B 内 的 主机 分 配 
的 网 络 参数 如 下 。 

。 IP 地 址 段 : 192. 168. 10. 101 一 192. 168. 10. 200; 

。 子 网 掩 码 : 255. 255. 255. 0; 

。 网 关 地 址 : 192. 168. 10. 254; 
域名 服务 器 : 192. 168. 0. 5; 
千 子 网 所 属 域 的 名 称 : mlx. com; 
默认 租约 有 效 期 : 1 天 ; 
最 大 租约 有 效 期 : 3 天 。 


3. 实 训 报 告 
按 要 求 完成 实 训 报告 。 


5 7 这 
DNS 服务 需 配 置 


DNS 服务 器 是 常见 的 网 络 服务 器 。 本 章 将 详细 讲解 在 Linux 操作 平台 下 
DNS 服务 器 的 配置 。 


EEES 
。 了 解 DNS 服务 的 工作 原理 。 


(%) 。 熟练 掌握 Linux 下 DNS 服务 器 的 配置 。 
。 熟练 掌握 Linux 下 DNS 客户 端的 配置 。 


7.1 认识 DNS 服务 


DNS(Domain Name Service ,域名 服务 ) 是 Internet/Intranet 中 最 基础 也 是 非常 重要 的 
-项 服务 , 它 提 供 了 网 络 访问 中 域名 和 IP 地 址 的 相互 转换 。 


7.1.1 DNS 概述 


在 TCP/IP 网 络 中 ,每 台 主 机 必须 有 一 个 唯一 的 IP 地 址 , 当 某 台 主 机 
要 访问 另外 一 台 主 机 上 的 资源 时 ,必须 指定 另 一 台 主 机 的 IP 地 址 ,通过 IP 
地 址 找到 这 人 台 主 机 后 才能 访问 这 台 主 机 。 但 是 . 当 网 络 的 规模 较 大 时 ,使 
用 IP 地 址 就 不 太 方便 了 ,所 以 , 便 出 现 了 主机 名 (hostname) 与 IP 地 址 之 
间 的 一 种 对 应 解决 方案 ,可 以 通过 使 用 形象 易 记 的 主机 名 而 非 IP 地 址 进 
行 网 络 的 访问 ,这 比 单纯 使 用 IP 地 址 要 方便 得 多 。 其 实 ,在 这 种 解决 方案 中 使 用 了 解析 的 
概念 和 原理 ,单独 通过 主机 名 是 无 法 建立 网 络 连接 的 。 只 有 通过 解析 的 过 程 ,在 主机 名 和 IP 
地 址 之 间 建 立 了 映射 关系 后 , 才 可 以 用 主机 名 间接 地 通过 IP 地 址 建立 网 络 连接 。 

主机 名 与 IP 地 址 之 间 的 映射 关系 在 小 型 网 络 中 多 使 用 hosts 文件 来 完成 ,后 来 , 随 着 网 
络 规模 的 增 大 ,为 了 满足 不 同 组 织 的 要 求 , 以 实现 一 个 可 伸缩 、 可 自 定义 的 命名 方案 的 需要 ， 
InterNIC 制定 了 一 套 称 为 域名 系统 DNS 的 分 层 名 字 解 析 方案 , 当 DNS 用 户 提出 IP 地 址 查 
询 请 求 时 ,可 以 由 DNS 服务 器 中 的 数据 库 提供 所 需 的 数据 ,完成 域名 和 IP 地 址 的 相互 转 
换 。DNS 技术 目前 已 广泛 应 用 于 Internet 中 。 

组 成 DNS 系统 的 核心 是 DNS 服务 器 , 它 是 回答 域名 服务 查询 的 计算 机 , 它 为 连接 
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Intranet 和 Internet 的 用 户 提 供 并 管理 DNS 服务 ,维护 DNS 名 字数 据 并 处 理 DNS 客户 端 
主机 名 的 查询 。DNS 服务 器 保存 了 包含 主机 名 和 相应 IP 地 址 的 数据 库 。 
DNS 服务 器 分 为 如 下 3 类 。 


1. 主 DNS 服务 器 (Master 或 Primary) 

主 DNS 服务 器 负责 维护 所 管辖 域 的 域名 服务 信息 。 它 从 域 管理 员 构 造 的 本 地 磁盘 文 
件 中 加 载 域 信息 ,该 文件 (区 文件 ) 包 含 着 该 服务 器 具有 管理 权 的 一 部 分 域 结构 的 最 精确 信 
息 。 配 置 主 域 服务 器 需要 一 整套 的 配置 文件 ,包括 主 配 置 文 件 (/etc/named. conf)、 正 向 域 
的 区 文件 ` 反 向 域 的 区 文件 .高 速 缓存 初始 化 文件 (/var/named/named. ca) 和 回 送 文件 


(/var/named/named. local) 。 


2. 辅助 DNS 服务 器 (Slave 或 Secondary) 

辅助 DNS 服务 器 用 于 分 担 主 DNS 服务 器 的 查询 负载 。 区 文件 是 从 主 服务 器 中 转移 出 
来 的 ,并 作为 本 地 磁盘 文件 存储 在 辅助 服务 器 中 。 这 种 转移 称 为 “区 文件 转移 ”。 在 辅助 
DNS 服务 器 中 有 一 个 所 有 域 信息 的 完整 复制 ,可 以 有 权威 地 回答 对 该 域 的 查询 请 求 。 配 置 
辅助 DNS 服务 器 不 需要 生成 本 地 区 的 文件 ,因为 可 以 从 主 服务 器 下 载 该 区 文件 ,因而 只 须 
配置 主 配置 文件 .高速 缓存 文件 和 回 送 文件 就 可 以 了 。 


3. 惟 高 速 缓存 DNS 服务 器 (Caching-only DNS Server) 

惟 高 速 缓存 DNS 服务 器 是 供 本 地 网 络 上 的 客户 机 用 来 进行 域名 转换 。 它 通过 查询 其 
他 DNS 服务 器 并 将 获得 的 信息 存放 在 它 的 高 速 缓存 中 ,为 客户 机 查询 信息 提供 服务 。 惟 高 
速 缓存 DNS 服务 器 不 是 权威 性 的 服务 器 ,因为 它 提供 的 所 有 信息 都 是 间接 信息 。 


7.1.2 DNS 查询 模式 


按照 DNS 搜索 区 域 的 类 型 ,DNS 的 区 域 分 为 正 向 搜索 区 域 和 反 向 搜索 区 域 。 正 向 搜 
索 是 DNS 服务 的 主要 功能 , 它 根 据 计 算 机 的 DNS 名 称 (域名 ) 解 析出 相应 的 IP 地 址 ; 反 向 
搜索 是 根据 计算 机 的 IP 地 址 解析 出 它 的 DNS 名 称 ( 域 名 ) 。 


1. 正 向 查询 

正 向 查询 就 是 根据 域名 搜索 出 对 应 的 IP 地址 。 其 查询 方法 为 : 当 DNS 客户 机 (也 可 以 
是 DNS 服务 器 ) 向 首选 DNS 服务 器 发 出 查询 请 求 后 ,如 果 首 选 DNS 服务 器 数据 库 中 没有 
与 查询 请 求 所 对 应 的 数据 , 则 会 将 查询 请 求 转发 给 另 一 台 DNS 服务 器 ,以 此 类 推 ,直到 找到 
与 查询 请 求 对 应 的 数据 为 止 。 如 果 最 后 一 台 DNS 服务 器 中 也 没有 所 需 的 数据 , 则 通知 DNS 
客户 机 查询 失败 。 


2. 反 向 查询 
反 向 查询 与 正 向 查询 正好 相反 , 它 是 利用 IP 地 址 查询 出 对 应 的 域名 。 
7.1.3 DNS 域名 空间 结构 


在 域名 系统 中 ,每 台 计 算 机 的 域名 由 一 系列 用 点 分 开 的 字母 和 数字 的 字段 组 成 。 例 如 ， 

台 计 算 机 的 FQDN(Full Qualified Domain Name) 为 computer. jnrp. cn, 其 具有 的 域名 为 jnrp. 
cn; 另 一 台 计 算 机 的 FQDN 为 www. computer. jnrp. cn, 其 具有 的 域名 为 computer. jnrp. cn。 
域名 是 有 层次 的 ,域名 中 最 重要 的 部 分 位 于 右边 。FQDN 中 最 左边 的 部 分 是 单 台 计算 机 的 
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主机 名 或 主机 别名 。 
DNS 域名 空间 的 分 层 结构 如 图 7-1 所 示 。 


mail Www fp news 


图 7-1 DNS 域名 空间 的 分 层 结构 


整个 DNS 域名 空间 结构 如 同一 棵 倒挂 的 树 , 层 次 结构 非常 清晰 。 根 域 位 于 顶部 , 紧 接 
在 根 域 下 面 的 是 顶级 域 ,每 个 顶级 域 又 可 以 进一步 划分 为 不 同 的 二 级 域 ,二 级 域 再 划分 出 子 
域 , 子 域 下 面 可 以 是 主机 也 可 以 是 再 划分 的 子 域 ,直到 最 后 的 主机 。 在 Internet 中 的 域 是 由 
InterNIC 负责 管理 的 ,域名 的 服务 则 由 DNS 来 实现 。 


7.2 安装 DNS 服务 


Linux 下 架设 DNS 服务 器 通常 使 用 BIND(Berkeley Internet Name Domain) 程 序 来 实 
现 , 其 守护 进程 是 named。 


1. 安装 BIND 软件 包 

(1) BIND 软件 包 简 介 

BIND 是 一 款 实现 DNS 服务 器 的 开放 源码 软件 。BIND 原本 是 美国 DARPA 资助 研究 
伯 克 里 大 学 (Berkeley) 开 设 的 一 个 研究 生 课 题 ,经 过 多 年 的 变化 发 展 ,已 经 成 为 世界 上 使 用 最 
为 广泛 的 DNS 服务 器 软件 ,目前 Internet 上 绝 大 多 数 的 DNS 服务 器 都 是 用 BIND 来 架设 的 。 

BIND 经 历 了 第 4 版 第 9 版 和 最 新 的 第 10 版 ,BIND 能 够 运行 在 当前 大 多 数 的 操作 系 
统 平台 之 上 。 目 前 ,BIND 软件 由 Internet 软件 联合 会 (Internet Software Consortium,ISC) 
这 个 非 营 利 性 机 构 负责 开发 和 维护 。 

(2) 安装 BIND 软件 包 

J@ 使 用 yum 命令 安装 BIND 服务 。( 光 盘 挂 载 .yum 源 的 制作 请 参考 前 面 的 相关 内 容 。 
如 果 是 在 互联 网 上 ,可 以 使 用 系统 自 带 的 yum 安装 源 ;否则 .要 删除 系统 自 带 的 yum 源 文 
件 , 重 新 制作 本 地 yum 安装 源 文件 。 详 见 2. 2. 2 小 节 的 相关 内 容 。) 


[root@serverl 一 ]#yum clean all // 安 装 前 先 清除 缓存 
[root@serverl 一 ]# yum install bind bind- chroot -Y 
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@ 安装 完 后 再 次 查询 ,发 现 已 安装 成 功 。 


2. 启动 DNS 服务 
启动 DNS 服务 后 ,将 DNS 服务 加 入 开机 自 启动 中 。 


7.3 掌握 BIND 配置 文件 


一 般 的 DNS 配置 文件 分 为 全 局 配置 文件 、 主 配置 文件 和 正 反 向 解析 区 域 声明 文件 。 下 
面 介绍 各 配置 文件 的 配置 方法 。 


7.3.1 认识 全 局 配置 文件 
全 局 配置 文件 位 于 /etc 目录 下 。 
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zone "." IN{ // 用 于 指定 根 服务 器 的 配置 信息 ,一 般 不 能 改动 


include "/etc/nemed.2ones"; // 指 定 主 配置 文件 一定 根据 实际 情况 修改 
include "/etc/named.root..key"; 


options 配置 段 属于 全 局 性 的 设置 ,常用 配置 项 命令 及 功能 如 下 。 

。 directory: 用 于 指定 named 守护 进程 的 工作 目录 ,各 区 域 正 反 向 搜索 解析 文件 和 
DNS 根 服务 器 地 址 列表 文件 (named. ca) 应 放 在 该 配置 项 指定 的 目录 中 。 
allow-query{} 与 allow-query{localhost; } 功 能 相同 。 另 外 ,还 可 以 使 用 地 址 匹配 符 
来 表达 允许 的 主机 。 例 如 ,any 可 匹配 所 有 的 IP 地 址 ,none 不 匹配 任何 IP 地 址 ， 
localhost 匹配 本 地 主机 使 用 的 所 有 IP 地 址 ,localnets 匹配 同 本 地 主机 相连 的 网 络 
中 的 所 有 主机 。 例 如 , 若 仅 允 许 127. 0. 0. 1 和 192. 168. 1. 0/24 网 段 的 主机 查询 该 
DNS 服务 器 , 则 命令 为 : 


allow- query {127.0.0.1;192.168.1.0/24}; 


listen-on: 设置 named 守护 进程 监听 的 IP 地 址 和 端口 。 若 未 指定 ,默认 监听 DNS 
服务 器 的 所 有 IP 地 址 的 53 号 端口 。 当 服务 器 安装 有 多 块 网 卡 ` 有 多 个 IP 地 址 时 ， 
可 通过 该 配置 命令 指定 所 要 监听 的 IP 地 址 。 对 于 只 有 一 个 地 址 的 服务 器 ,不必 设 
置 。 例 如 , 若 要 设置 DNS 服务 器 监听 192. 168. 1. 2 这 个 IP 地 址 ,端口 使 用 标准 的 
5353 号 , 则 配置 命令 为 : 


]isten- on port 5353 { 192.168.1.2;}; 


forwarders{} : 用 于 定义 DNS 转发 器 。 当 设置 了 转发 器 后 ,所 有 非 本 域 的 和 在 缓存 
中 无 法 找到 的 域名 查询 ,可 由 指定 的 DNS 转发 器 来 完成 解析 工作 并 做 缓存 。 
forward 用 于 指定 转发 方式 , 仅 在 forwarders 转发 器 列表 不 为 空 时 有 效 , 其 用 法 为 
“forward first | only ;”。forward first 为 默认 方式 ,DNS 服务 器 会 将 用 户 的 域名 查 
询 请 求 先 转发 给 forwarders 设置 的 转发 器 ,由 转发 器 来 完成 域名 的 解析 工作 , 若 指 
定 的 转发 器 无 法 完成 解析 或 无 响应 , 则 再 由 DNS 服务 器 自身 来 完成 域名 的 解析 。 
若 设置 为 forward only ;”, 则 DNS 服务 器 仅 将 用 户 的 域名 查询 请 求 转发 给 转发 器 ; 
若 指定 的 转发 器 无 法 完成 域名 解析 或 无 响应 ,DNS 服务 器 自身 也 不 会 试 着 对 其 进行 
域名 解析 。 例 如 , 某 地 区 的 DNS 服务 器 为 61. 128. 192. 68 和 61. 128. 128. 68 , 若 要 
将 其 设置 为 DNS 服务 器 的 转发 器 , 则 配置 命令 为 : 
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7.3.2 认识 主 配置 文件 


主 配置 文件 位 于 /etc 目录 下 ,可 将 named. rfc1912. zones 复制 为 全 局 配置 文件 中 指定 的 
主 配置 文件 ,本 书 中 是 /etc/named. zones。 


1. Zone 区 域 声明 
(1) 主 域名 服务 器 的 正 向 解析 区 域 声明 格式 为 (样本 文件 为 named. localhost) : 


(2) 从 域名 服务 器 的 正 向 解析 区 域 声明 格式 为 : 


反 向 解析 区 域 的 声明 格式 与 正 向 相同 ,只 是 file 所 指定 要 读 的 文件 不 同 ,另外 就 是 区 域 
的 名 称 不 同 。 若 要 反 向 解析 z. y. x 网 段 的 主机 , 则 反 向 解析 的 区 域名 称 应 设置 为 =. y. x. in- 
addr. arpa。( 反 向 解析 区 域 样本 文件 为 named. loopback。) 
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2. 根 区 域 文 件 /var/named/named. ca 

/var/named/named. ca 是 一 个 非常 重要 的 文件 ,该 文件 包含 了 Internet 的 顶级 域名 服 
务 器 的 名 字 和 地 址 。 利 用 该 文件 可 以 让 DNS 服务 器 找到 根 DNS 服务 器 ,并 初始 化 DNS 的 组 
冲 区 。 当 DNS 服务 器 接 到 客户 端 主 机 的 查询 请 求 时 ,如 果 在 Cache 中 找 不 到 相应 的 数据 ,就 会 
通过 根 服务 器 进行 逐 级 查询 。/var/named/named. ca 文件 的 主要 内 容 如 图 7-2 所 示 。 


Toot@RHEL7-L~ i 

File Edit View Search Terminal Help 

<<>> DiG 9.9.4-RedHat -9.9.4-38.el7 3.2 <<>> +bufsize=1288 +norec @a.root-servers.net 

(2 servers found) 

; global options: +cmd 

; Got answer: 

; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17388 

; flags: qr aa; OUERY: 1, ANSWER: 13, AUTHORITY: 8, ADDITIONAL: 27 

; OPT PSEUDOSECTION: 

EDNS: version: 0, flags:; udp: 1472 

; QUESTION SECTION: 

4 IN Ns 

; ANSWER SECTION: 
518486 IN NS aroot-servers,net 
518498 IN NS b.root-servers.net. 
518498 IN NS c.root-servers.net. 
18400 IN NS d. root-servers.net, 
518466 IN NS e.root-servers ,net 
518466 IN NS f.root-servers.net. 

8469 IN NS g.root-servers ,net 

518400 IN NS h. root-servers.net. 
518466 IN NS 1.root-servers. net. 
518466 IN NS j.root-servers.net. 
518466 IN NS .root-servers,net 
518466 IN NS lroot-servers. net, 
518490 IN NS m. root-servers.net, 

; ADDITIONAL SECTION: 

:root-servers.net， 3699969 IN 

.root-servers.net. 3669668 IN 

.root-servers.net, 3699969 IN 

.root-servers.net. 3699969 IN AAAA 。 2991:599:84::b 

.root-servers.net. 3699969 IN A 192.33.4.12 


图 7-2 named. ca 文件 


到 @ 以 “;” 开 始 的 行 都 是 注释 行 。 
~ @ 其 他 每 两 行 都 和 某 个 域名 服务 器 有 关 , 分 别 是 NS 和 A 的 资源 记录 。 

说 明 行 “. 518400 IN NS a. root-servers. net. ”的 含义 是 :“. ”表示 根 域 ;518400 是 
存活 期 ;IN 是 资源 记录 的 网 络 类 型 ,表示 Internet 类 型 ;NS 是 资源 记录 类 型 ia. 
root-servers. net. ”是 主机 域名 。 

行 “a. root-servers. net。 3600000 IN A 198. 41. 0. 4” 的 含义 是 : A 资源 记录 
用 于 指定 根 域 服 务 器 的 IP 地 址 。 其 中 ,a. root-servers. net. 是 主机 名 ;3600000 
是 存活 期 ;A 是 资源 记录 类 型 ;最 后 对 应 的 是 IP 地 址 。 

图 其 他 各 行 的 含义 与 上 面 两 项 基本 相同 。 


由 于 named. ca 文件 经 常会 随 着 根 服务 器 的 变化 而 发 生变 化 ,所 以 建议 最 好 从 国际 互联 
网 络 信 息 中 心 (InterNIC) 的 FTP 服务 器 下 载 最 新 的 版 本 ,下 载 地 址 为 ftp://ftp. internic. 
net/domain/ ,文件 名 为 named. root。 


7.3.3 缓存 DNS 服务 器 的 配置 


缓存 域名 服务 器 配置 很 简单 ,不 需要 区 域 文件 ,配置 好 /etc/named. conf 就 可 以 了 。 一 
般 电信 的 DNS 都 是 缓存 域名 服务 器 。 重 要 的 是 配置 好 以 下 两 项 内 容 。 
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。 forward only: 指明 这 个 服务 器 是 缓存 域名 服务 器 。 

。 forwarders: 这 是 转发 dns 请 求 到 指定 服务 器 。 

这 样 ,一 个 简单 的 缓存 域名 服务 器 就 架设 成 功 了 ,一 般 缓存 域名 服务 器 都 是 ISP 或 者 大 
公司 才 会 使 用 。 


7.4 配置 主 DNS 服务 器 实例 


本 节 将 结合 具体 实例 介绍 缓存 DNS . 主 DNS 辅助 DNS 等 各 种 DNS 服务 器 的 配置 。 


7.4.1 案例 环境 及 需求 


某 校 园 网 要 架设 一 台 DNS 服务 器 来 负责 long. com 域 的 域名 解析 工作 。DNS 服务 器 的 
FQDN 为 dns. long. com,IP 地 址 为 192. 168. 10. 1。 要 求 为 以 下 域名 实现 正 反 向 域名 解析 服务 。 


dns. long. com 192. 168. 10. 1 
mail. long. com MX 记录 192. 168. 10. 2 
slave. long. com 192. 168. 10. 3 
www. long. com 192. 168. 10. 4 
ftp. long. com 192. 168. 10. 20 


另外 ,为 www. long. com 设置 别名 为 web. long. com。 
7.4.2 配置 过 程 
配置 过 程 包括 全 局 配置 文件 、 主 配置 文件 和 正 反 向 区 域 解析 文件 的 配置 。 


1. 编辑 全 局 配置 文件 /etc/named. conf 

/etc/named. conf 文件 在 /etc 目录 下 。 把 options 选项 中 的 侦 听 IP 127. 0. 0. 1 改 成 
any, 把 dnssec-validation yes 改 为 no, 把 允许 查询 网 段 allow-query 后 面 的 localhost 改 成 
any。 在 include 语句 中 指定 主 配置 文件 为 named. zones。 修 改 后 相关 内 容 如 下 : 


[root@ serverl ~ ]# vim /etc/named.conf 


listen- cn port 53 { any; }; 
listen- on- v6 port 53 { ::1; }; 
directory "/var/named"; 
dmp- file "/var/named/data/cache damp.db"; 
statistics- file "/var/named/data/named stats.txt"; 
memstatistics- file "/var/named/data/named mem stats.txt"; 


include "/etc/nemed.2ones"; // 必 须 更 改 


2. 配置 主 配置 文件 named. zones 
使 用 vim /etc/named. zones 编辑 并 增加 以 下 内 容 。 


思考 : 前 面 两 个 步骤 能 不 能 改 为 一 个 步骤 。 省 略 named. zones 文件 ,直接 将 named. conf 
改 为 下 面 的 内 容 ,结果 是 不 是 一 样 的 ? 请 试 一 试 ,以 后 应 用 中 尽量 使 用 简洁 的 表述 方式 。 


3. 修改 BIND 的 区 域 配置 文件 

(1) 创建 long. com. zone 正 向 区 域 文件 

long. com. zone 正 向 区 域 文件 位 于 /var/named 目录 下 ,为 编辑 方便 ,可 先 将 样本 文件 
named. localhost 复制 到 long. com. zone 中 ,再 对 long. com. zone 进行 编辑 修改 ,编辑 修改 如 下 : 


(2) 创建 1. 10. 168. 192. zone 反 向 区 域 文件 
1. 10. 168. 192. zone 反 向 区 域 文件 位 于 /var/named 目录 下 ,为 编辑 方便 ,可 先 将 样本 文件 
named. loopback 复制 到 1. 10. 168. 192. zone, 再 对 1. 10. 168. 192. zone 编辑 修改 ,编辑 修改 如 下 : 


> Te | < 


4. 设置 防火 墙 放行 


5. 重新 启动 DNS 服务 ,加 入 开机 启动 


6. 测试 

说 明 如 下 : 

(1) 主 配置 文件 的 名 称 一 定 要 与 /etc/named. conf 文件 中 指定 的 文件 名 一 致 。 本 书 中 
是 named. zones。 

(2) 正 反 向 区 域 文件 的 名 称 一 定 要 与 /etc/named. zones 文件 中 的 zone 区 域 声明 中 指定 
的 文件 名 一 致 。 

(3) 正 反 向 区 域 文件 的 所 有 记录 行 都 要 顶头 写 ,前 面 不 要 留 有 空格 ,否则 会 导致 DNS 
服务 不 能 正常 工作 。 

(4) 第 一 个 有 效 行为 SOA 资源 记录 。 该 记录 的 格式 如 下 : 


各 选项 说 明 如 下 。 

@ 是 该 域 的 蔡 代 符 ,例如 long. com. zone 文件 中 的 @ 代 表 long. com。 

IN 表示 网 络 类 型 。 

SOA 表示 资源 记录 类 型 。 

origin 表示 该 域 的 主 域名 服务 器 的 FQDN ,用 “. ”结尾 表示 这 是 个 绝对 名 称 。 例 如 ， 
long. com. zone 文件 中 的 origin 为 “dns. long. com. ”。 

contact 表示 该 域 的 管理 员 的 电子 邮件 地 址 。 它 是 正常 E-mail 地 址 的 变通 ,将 @ 变 
为 “.”。 例 如 ,long. com. zone 文件 中 的 contact 为 “mail. long. com. ”。 

serial 为 该 文件 的 版 本 号 。 该 数据 是 辅助 域名 服务 器 和 主 域名 服务 器 进行 时 间 同 步 
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的 ,每 次 修改 数据 库 文件 后 都 应 更 新 该 序列 号 。 习 惯 上 用 yyyymmddnn, 即 年 月 、 
日 后 加 两 位 数字 ,表示 一 日 之 中 第 几 次 修改 。 
。 refresh 为 更 新 时 间 间 隔 。 辅 助 DNS 服务 器 根据 此 时 间 间 隔 周 期 性 地 检查 主 DNS 
服务 器 的 序列 号 是 否 改变 ,如 果 改 变 . 则 更 新 自己 的 数据 库 文件 。 
。 retry 为 重 试 时 间 间 隔 。 当 辅助 DNS 服务 器 没有 能 够 从 主 DNS 服务 器 更 新 数据 库 
文件 时 ,在 定义 的 重 试 时 间 间 隔 后 重新 尝试 。 
。 expiry 为 过 期 时 间 。 如 果 辅 助 DNS 服务 器 在 所 定义 的 时 间 间 隔 内 没有 能 够 与 主 
DNS 服务 器 或 男 一 台 DNS 服务 器 取得 联系 , 则 该 辅助 DNS 服务 器 上 的 数据 库 文件 
被 认为 无 效 , 不 再 响应 查询 请 求 。 
。 minimum 表示 最 小 时 间 间 隔 。 
(5) TTL 为 最 小 时 间 间 隔 ,单位 是 s。 对 于 没有 特别 指定 存活 周期 的 资源 记录 ,默认 取 
minimum 的 值 为 1 天 , 即 86400s。1D 表示 一 天 。 
(6) 行 “@ IN NS dns. long. com. "说明 该 域 的 域名 服务 器 ,至 少 应 该 定义 一 个 。 
(7) 行 “@ IN MX 10 mail. long. com. ”用 于 定义 邮件 交换 器 ,其 中 10 表示 优先 级 别 , 数 
字 越 小 ,优先 级 别 越 高 。 
(8) 类 似 于 行 “www IN A 192. 168. 10.4” 是 一 系列 的 主机 资源 记录 ,表示 主机 名 和 IP 
地 址 的 对 应 关系 。 
(9) 行 “web IN CNAME www. long. com. "定义 的 是 别名 资源 记录 ,表示 “web. long. 
com. "是 “www. long. com. ”的 别名 。 
(10) 类 似 于 行 “2 IN PTR mail. long. com. "是 指针 资源 记录 ,表示 IP 地 址 与 主机 名 称 
的 对 应 关系 。 其 中 ,PTR 使 用 相对 域名 ,如 “2” 表 示 2. 10. 168. 192. in-addr. arpa, 它 表示 IP 
地 址 为 192. 168. 10. 2。 


7.5 配置 DNS 客户 端 


DNS 客户 端的 配置 非常 简单 ,假设 本 地 首选 DNS 服务 器 的 IP 地 址 为 192. 168. 10. 1 ， 
备用 DNS 服务 器 的 IP 地 址 为 192. 168. 10.2,DNS 客户 端的 设置 如 下 。 


1. 配置 Windows 客户 端 
打开 “Internet 协议 版 本 4(TCP/IP)” 属 性 对 话 框 ,在 如 图 7-3 所 示 的 对 话 框 中 输入 首选 
和 备用 DNS 服务 器 的 IP 地 址 即 可 。 


2. 配置 Linux 客户 端 
在 Linux 系统 中 可 以 通过 修改 /etc/resolv. conf 文件 来 设置 DNS 客户 端 。 


[root@clientl ~ ]#vim /etc/resolv.conf 
nameserver 192.168.10.1 
nameserver 192.168.10.2 
Search long.om 


其 中 ,nameserver 指明 域名 服务 器 的 IP 地 址 ,可 以 设置 多 个 DNS 服务 器 ,查询 时 按照 
文件 中 指定 的 顺序 进行 域名 解析 ,只 有 当 第 一 个 DNS 服务 器 没有 响应 时 才 向 下 面 的 DNS 
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四 自动 获得 Dis 服务 器 地 址 B) 
便 使 用 下 面 的 INS 服务 器 地 址 下) 
首选 DIS 服务 器 中) 

备用 DRS 服务 器 W) 


回 退 出 8 验证 设置 0) 


图 7-3 Windows 系统 中 DNS 客户 端的 配置 


服务 器 发 出 域名 解析 请 求 。search 用 于 指明 域名 搜索 顺序 , 当 查 询 没 有 域名 后 级 的 主机 名 
时 ,将 会 自动 附加 由 search 指定 的 域名 。 
在 Linux 系统 中 还 可 以 通过 系统 菜单 设置 DNS。 相 关内 容 前 面 已 多 次 介绍 ,在 此 不 再 袭 述 。 


7.6 使 用 工具 测试 DNS 


BIND 软件 包 提 供 了 3 个 DNS 测试 工具 : nslookup .dig 和 host。 其 中 dig 和 host 是 命 
令 行 工 具 , 而 nslookup 命令 既 可 以 使 用 命令 行 模式 也 可 以 使 用 交互 模式 。 下 面 在 客户 端 
Client1(192. 168. 10. 20) 上 进行 测试 ,前提 是 必须 保证 与 RHEL 7-1 服务 器 的 通信 畅通 。 


1. nslookup 命令 (在 Clientl 上 ) 
命令 的 具体 内 容 如 下 。 


[rooteclientl ~ ]# vim /etc/resolv.conf 
nameserver 192.168.10.1 


[roct@Clientl ~ ]#nslockhPp ”// 运 行 nslcokmp 命 令 

> server 

Default server: 192.168.10.1 

Podress: 192.168.10.]#53 

> WoW. long.com // 正 向 查询 ,查询 域名 www.long.com 所 对 应 的 IP 地 址 
Server: 192.168.10.1 

Podress: 192.168.10.]#53 


Name: ww.long.com 

Podress: 192.168.10.4 

> 192.168.10.2 // 反 向 查询 ,查询 下 地 址 192.168.1.2 所 对 应 的 域名 
Server: 192.168.10.1 

Podress: 192.168.10.]# 53 


2. dig 命令 
dig(domain information groper) 是 一 个 灵活 的 命令 行 方式 的 域名 查询 工具 ,常用 于 从 域 


名 服务 器 获取 特定 的 信息 。 例 如 ,通过 dig 命令 查看 域名 www. long. com 的 信息 。 
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3. host 命令 
host 命令 用 来 进行 简单 的 主机 名 的 信息 查询 ,在 默认 情况 下 ,host 只 在 主机 名 和 IP 地 
址 之 间 进 行 转换 。 下 面 是 一 些 常 见 的 host 命令 的 使 用 方法 。 


// 正 向 查询 主机 地 址 

[root@Client] ~ ]#host dns.lcng.cam 

// 反 向 查询 瑟 地 址 对 应 的 域名 

[rootecClientl ~ ]#host 192.168.10.3 

// 查 询 不 同类 型 的 资源 记录 配置 ,-t 参 数 后 可 以 为 Sa.MK.CNRME.R.PTR 等 
[root@Clientl ~ ]#host -t NS long.om 

// 列 出 整个 long.cmm 域 的 信息 

[rooteclientl ~ ]#host -1 lcng.ccm 

// 列 出 与 指定 的 主机 资源 记录 相关 的 详细 信息 
[root@Client] ~ ]#host -a web.long.om 


4. DNS 服务 器 配置 中 的 常见 错误 

(1) 配置 文件 名 写 错 。 在 这 种 情况 下 ,运行 nslookup 命令 不 会 出 现 命 令 提 示 符 “二 ”。 

(2) 主机 域名 后 面 没 有 小 点 ".”, 这 是 最 常 犯 的 错误 。 

(3) /etc/resolv. conf 文件 中 的 域名 服务 器 的 IP 地 址 不 正确 。 在 这 种 情况 下 , nslookup 
命令 不 出 现 命令 提示 符 。 

(4) 回 送 地 址 的 数据 库 文件 有 问题 。 同 样 nslookup 命令 不 出 现 命令 提示 符 。 

(5) 在 /etc/named. conf 文件 中 的 zone 区 域 声 明 中 定义 的 文件 名 与 /var/named 目录 下 
的 区 域 数据 库 文件 名 不 一 致 。 


7.7 练习 题 
一 、 填空 题 
1. 在 Internet 中 计算 机 之 间 直 接 利用 IP 地 址 进行 寻 址 ,因而 需要 将 用 户 提供 的 主机 名 
转换 成 IP 地 址 ,我 们 把 这 个 过 程 称 为 。 
2. DNS 提供 了 一 个 的 命名 方案 。 
3. DNS 顶级 域名 中 表示 商业 组 织 的 是 。 
4. 表示 主机 的 资源 记录 ， 表示 别名 的 资源 记录 。 
5. 写 出 可 以 用 来 检测 DNS 资源 创建 的 是 否 正确 的 两 个 工具 、 
6. DNS 服务 器 的 查询 模式 有 、 
7. DNS 服务 器 分 为 4 类 : 、 、 、 
8. 一 般 在 DNS 服务 器 之 间 的 查询 请 求 属于 查询 。 
二 、 选 择 题 
1. 在 Linux 环境 下 ,能 实现 域名 解析 功能 的 软件 模块 是 Ne 
A. apache B. dhcpd C. BIND D. SQUID 
2. www. 163. com 是 Internet 中 主机 的 ( ys 
A. 用 户 名 B. 密码 C. 别名 D. IP 地 址 


> ie | < 


图 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


E. FQDN 
3. 在 DNS 服务 器 配置 文件 中 A 类 资源 记录 的 意思 是 ( )。 
A. 官方 信息 B. IP 地 址 到 名 字 的 映射 
C. 名 字 到 IP 地 址 的 映射 D. 一 个 名 称 服务 器 的 规范 
4. 在 Linux DNS 系统 中 , 根 服务 器 提示 文件 是 ( ”)。 
A. /etc/named. ca B. /var/named/named. ca 
C. /var/named/named. local D. /etc/named. local 
5. DNS 指针 记录 的 标志 是 ( Ne 
生息 B. PTR C. CNAME D. NS 
6. DNS 服务 使 用 的 端口 是 (。”)。 
A. TCP 53 B. UDP 54 C. TCP 54 D. UDP 53 
7. 可 以 测试 DNS 服务 器 的 工作 情况 的 命令 是 (。”)。 
A. dig B. host C. nslookup D. named-checkzone 
8. 可 以 启动 DNS 服务 的 命令 是 (  ”)。 
A. systemctl] start named B. systemct] restart named 
C. service dns start D. /etc/init. d/dns start 
9. 指定 域名 服务 器 位 置 的 文件 是 ( js 
A. /etc/hosts B. /etc/networks 
C. /etc/resolv. conf D. /. profile 
7.8 项 目 实 录 
1. 观看 视频 


做 实 训 前 请 扫描 二 维 码 观看 视频 。 


2. 项 目 实 训 目 的 及 内 容 
(1) 掌握 Linux 系统 中 主 DNS 服务 器 的 配置 。 
(2) 掌握 Linux 下 辅助 DNS 服务 器 的 配置 。 


3. 项 目 背 景 

某 企业 有 一 个 局 域 网 (192. 168. 1. 0/24) ,网 络 拓扑 如 图 7-4 所 示 。 该 企业 中 已 经 有 自 
己 的 网 页 ,员工 希望 通过 域名 来 进行 访问 ,同时 员工 也 需要 访问 Internet 上 的 网 站 。 该 企业 
已 经 申请 了 域名 jnrplinux. com, 公 司 需 要 Internet 上 的 用 户 通过 域名 访问 公司 的 网 页 。 不 
能 因为 DNS 的 故障 导致 网 页 不 能 访问 。 

要 求 在 企业 内 部 构建 一 台 DNS 服务 器 ,为 局 域 网 中 的 计算 机 提供 域名 解析 服务 。DNS 
服务 器 管理 jnrplinux. com 域 的 域名 解析 ,DNS 服务 器 的 域名 为 dns. jnrplinux. com,IP 地 
址 为 192. 168. 1.2。 辅 助 DNS 服务 器 的 IP 地 址 为 192. 168. 1. 3。 同 时 还 必须 为 客户 提供 
Internet 上 的 主机 的 域名 解析 。 要 求 分 别 能 解析 以 下 域名 : 财务 部 (cw. jnrplinux. com: 
192. 168. 1. 11)、 销 售 部 (xs. jnrplinux. com: 192. 168. 1. 12)、 经 理 部 (jl. jnrplinux. com: 
192. 168. 1. 13) .OA 系统 (oa. jnrplinux. com: 192. 168. 1. 13)。 
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域 : jnrplinux.com 网 络 管理 部 


DNS 财务 部 经 理 部 OA 系统 销售 部 
dns.jnrplinux.com cw.jnrplinux.com jl.jnrplinux.com oa.jnrplinux.com xs.jnrplinux.com 
192.168.1.11 192.168.1.13 192.168.1.13 192.168.1.12 


图 7-4 DNS 服务 器 搭建 网 络 拓扑 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 , 检 查 学 习 效果 。 


7.9 实 训 : DNS 服务 器 配置 


1. 实 训 目的 及 内 容 
掌握 Linux 下 主 DNS、 辅 助 DNS 和 转发 器 DNS 服务 器 的 配置 与 调试 方法 。 


2. 实 训 环 境 

在 VMware 虚拟 机 中 启动 3 台 Linux 服务 器 ,IP 地 址 分 别 为 192. 168. 203. 1、192. 168. 
203.2 和 192. 168. 203.3。 并 且 要 求 此 3 台 服 务 器 已 安装 了 DNS 服务 所 对 应 的 软件 包 ( 包 
插 chroot) 。 


3. 实 训练 习 

(1) 配置 主 域名 服务 器 

O@ 配置 全 局 配置 文件 /etc/named. conf 。 

把 options 选项 中 的 侦 听 IP 127. 0. 0. 1 改 成 any, 把 允许 查询 网 段 allow-query 后 面 的 
localhost 改 成 any。 在 view 选项 中 修改 “指定 提交 DNS 客户 端的 源 IP 地 址 范围 "和 “指定 
提交 DNS 客户 端的 目标 IP 地 址 范围 ”为 any, 同 时 指定 主 配 置 文件 为 named. zones。 

@ 生成 主 配置 文件 named. zones。 

named. zones 文件 位 于 /var/named/chroot/etc 目录 下 。 可 将 named. rfc1912. zones 复 
制 为 全 局 配置 文件 中 指定 的 主 配 置 文件 。 

配置 主 域名 服务 器 来 负责 对 于 区 域 smile. com 的 解析 工作 ,同时 负责 对 应 的 反 向 查找 
区 域 。 

在 /var/named/chroot/etc/named. zones 中 添加 以 下 内 容 。 


zone "smile.oom" { 
type master; 
和 le "smile.cm.zone"; 


185 


@ 在 /var/named/chroot/var/named 目录 下 创建 smile. com. zone 正 向 区 域 文件 。 该 
文件 的 内 容 如 下 : 


@ 在 /var/named/chroot/var/named 下 创建 区 域 文件 192. 168. 203. zone, 内 容 如 下 : 
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@ 重新 启动 域名 服务 器 。 

@ 测试 域名 服务 器 ,并 记录 观测 到 的 数据 。 

(2) 配置 缓存 域名 服务 器 

在 IP 地 址 为 192. 168. 203. 2 的 Linux 系统 上 配置 缓存 名 称 服务 器 。 
@ 在 /etc/named. conf 中 的 option 区 域 添加 类 似 下 面 的 内 容 。 


forwarders {192.168.0.9; }; 
forward only; 


@ 启动 named 服务 。 

@ 测试 配置 。 

(3) 配置 辅助 域名 服务 器 

在 IP 地 址 为 192. 168. 203. 3 的 Linux 系统 上 配置 smile. com 区 域 和 203. 168. 192. in- 
addr. arpa 区 域 的 辅助 域名 服务 器 。 

@ 在 192. 168. 203.1( 主 DNS 服务 器 ) 上 配置 主 配置 文件 。 


[root@RHEL6 ~ ]# vim /var/named/chroot/etc/nemed.2cnes 


file "smile.coom"; 

also- notify { 192.168.203.3;}; 
»; 
zone "203.168.192.in- addr.arpa" IN { 

type master; 

file "192.168.203.20ne"; 

also- notify { 192.168.203.3;}; 
}; 


zone 中 添加 also-notify { 辅助 DNS IP 地 址 ; } ,或 者 在 全 局 options 中 声明 ,可 以 使 用 
notify yes, 这 样 只 要 主 服务 器 重启 DNS 服务 则 发 送 notify 值 ,辅助 服务 器 则 会 立即 更 新 区 
域 文件 数据 。 

@ 在 192.168.203.3( 辅 助 DNS 服务 器 ) 上 安装 bind 软件 包 。 

@ 在 192.168. 203. 3 上 配置 全 局 配置 文件 。 

在 /var/named/chroot/etc 目录 下 把 options 选项 中 的 侦 听 IP 127. 0. 0. 1 改 成 any, 把 
允许 查询 网 段 allow-query 后 面 的 localhost 改 成 any。 在 view 选项 中 修改 “指定 提交 DNS 
客户 端的 源 IP 地 址 范围 "和 “指定 提交 DNS 客户 端的 目标 IP 地 址 范围 为 any, 同 时 指定 主 
配置 文件 为 named. zones。 具 体 配置 参见 主 DNS 服务 器 配置 。 

@ 在 192. 168. 203. 3 上 编辑 DNS 服务 器 的 主 配置 文件 ,添加 以 下 区 域 声 明 。 


[root@RHEL6 ~ ]# vim /var/nemed/chroot/etc/nemed.zones 
zone "smile.coom" IN { 

type slave; 

file "slaves/smile.om.z2one"; 

masters{ 192.168.203.1;}; 


每 行 后 面 一 定 要 添加 “;”, 和 否则 启动 服务 失败 。 

必须 指定 file "slaves/ 区 域 文件 名 称 " 的 位 置 ,这 里 说 的 slaves 的 位 置 为 /var/named/ 
chroot/var/named/slaves。 

@ 重新 启动 named 服务 。 

@ 检查 在 /var/named/chroot/var/named 目录 下 是 否 自动 生成 了 smile. com. zone 和 
192. 168. 203. zone 文件 。 


4. 实 训 报 告 
按 要 求 完成 实 训 报 告 。 


第 8 章 
网 络 文件 系统 服务 


资源 共享 是 计算 机 网 络 的 主要 应 用 之 一 ,本 章 主 要 介绍 类 UNIX 系统 之 间 
实现 资源 共享 的 方法 一 一 网 络 文件 系统 (NFS) 服 务 。 


。 NFS 服务 的 基本 原理 。 

。 NFS 服务 器 的 配置 与 调试 。 
。 NFS 客户 端的 配置 。 
。 NFS 故障 排除 。 


8.1 NFS 基本 原理 


网 络 文件 系统 (Network File System,NFS) 是 使 不 同 的 计算 机 之 间 能 通过 网 络 进行 文 
件 共享 的 一 种 网 络 协议 ,多 用 于 类 UNIX 系统 的 网 络 中 。 


8.1.1 NFS 服务 概述 


在 Windows 主机 之 间 可 以 通过 共享 文件 夹 来 实现 存储 远程 主机 上 的 
文件 ,而 在 Linux 系统 中 通过 NFS 实现 类 似 的 功能 。NFS 最 早 是 由 SUN 
公司 于 1984 年 开发 出 来 ,其 目的 就 是 让 不 同 计算 机 、 不 同 操作 系统 之 间 可 ”2 
以 彼此 共享 文件 。 由 于 NFS 使 用 起 来 非常 方便 ,因此 很 快 得 到 了 大 多 数 而 
的 Linux 和 UNIX 系统 的 广泛 支持 ,而 且 还 被 IETE( 国 际 互联 网 工程 组 ) 
制定 为 RFC1904、RFC1813 和 RFC3010 标准 。 

NFS 网 络 文件 系统 具有 以 下 优点 。 

(1) 被 所 有 用 户 访问 的 数据 可 以 存放 在 一 台中 央 主 机 (NFS 服务 器 ) 并 共享 出 去 ,而 其 
他 不 同 主机 上 的 用 户 可 以 通过 NFS 服务 访问 中 央 主 机 上 的 共享 资源 ,这 样 既 可 以 提高 资源 
的 利用 率 , 节 省 客户 端 本 地 硬盘 的 空间 ,也 便于 对 资源 进行 集中 管理 。 

(2) 客户 访问 远程 主机 上 的 文件 和 访问 本 地 主机 上 的 资源 一 样 ,是 透明 的 。 

(3) 远程 主机 上 的 文件 的 物理 位 置 发 生变 化 不 会 影响 客户 访问 方式 的 变化 。 

(4) 可 以 为 不 同 客户 设置 不 同 的 访问 权限 。 
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8.1.2 NEFS 工作 原理 


NFS 服务 是 基于 客户 机 /服务 器 模式 的 。NFS 服务 器 是 提供 输出 文件 (共享 目录 文件 ) 
的 计算 机 ,而 NFS 客户 端 是 访问 输出 文件 的 计算 机 , 它 可 以 将 输出 文件 挂 载 到 自己 系统 中 
的 某 个 目录 文件 中 ,然后 像 访 问 本 地 文件 一 样 去 访问 NFS 服务 器 中 的 输出 文件 。 

例如 ,在 Linux 主机 A 中 有 一 个 目录 文件 /source, 该 文件 中 有 网 络 中 Linux 主机 B 中 
用 户 所 需 的 资源 。 可 以 把 它 输出 (共享 ) 出 来 ,这 样 B 主机 中 的 用 户 可 以 把 A:/source 挂 载 
到 本 机 的 某 个 挂 载 目录 (例如 /mnt/nfs/source) 中 ,之 后 B 主机 中 的 用 户 就 可 以 访问 /mnt/ 
nfs/source 中 的 文件 了 。 而 实际 上 B 主机 中 的 用 户 访问 的 是 A 主机 中 的 资源 。 

NFS 客户 和 NFS 服务 器 通过 远程 过 程 调用 (Remote Procedure Call, RPC) 协 议 实现 数 
据 传输 。 服 务 器 自 开启 服务 之 后 一 直 处 于 等 待 状态 , 当 客 户主 机 中 的 应 用 程序 访问 远程 文 
件 时 ,客户 主机 内 核 向 远程 服务 器 发 送 一 个 请 求 , 同 时 客户 进程 被 阻塞 并 等 待 服务 器 应 答 。 
服务 器 接收 到 客户 请 求 之 后 ,处 理 请 求 并 将 结果 返回 给 客户 端 。NFS 服务 器 上 的 目录 如 果 
可 以 被 远程 用 户 访问 ,就 称 为 导出 Cexport) ;客户 主机 访问 服务 器 导出 目录 的 过 程 称 为 挂 载 
(mount) 或 导入 。 


8.1.3 NFS 组 件 


Linux 下 的 NFS 服务 主要 由 以 下 6 个 部 分 组 成 。 其 中 ,只 有 前 面 3 个 是 必需 的 ,后 面 
3 个 是 可 选 的 。 

1. rpc. nfsd 

rpc. nfsd 守护 进程 的 主要 作用 就 是 判断 ,检查 客户 端 是 否 具备 登录 主机 的 权限 ,负责 处 
理 NFS 请 求 。 


2. rpc. mounted 

rpc. mounted 守护 进程 的 主要 作用 就 是 管理 NFS 的 文件 系统 。 当 客户 端 顺 利 地 通过 
rpc. nfsd 登录 主机 后 ,在 开始 使 用 NFS 主机 提供 的 文件 之 前 , 它 会 去 检查 客户 端的 权限 ( 根 
据 /etc/exports 来 对 比 客户 端的 权限 )。 通 过 这 一 关 之 后 ,客户 端 才 可 以 顺利 地 访问 NFS 服 
务 器 上 的 资源 。 


3. rpcbind 

rpcbind 的 主要 功能 是 进行 端口 映射 工作 。 当 客户 端 尝试 连接 并 使 用 RPC 服务 器 提供 的 
服务 (如 NFS 服务 ) 时 ,rpcbind 会 将 所 管理 的 与 服务 对 应 的 端口 号 提供 给 客户 端 ,从 而 使 客户 
端 可 以 通过 该 端口 向 服务 器 请 求 服务 。 在 RHEL 6. 4 中 rpcbind 默认 已 安装 并 且 已 经 正常 
启动 。 


国 虽然 rpcbind 只 用 于 RPC, 但 它 对 NFS 服务 来 说 是 必 不 可 少 的 。 如 果 
二 rpcbind 没有 运行 ,NFS 客户 端 就 无 法 查找 从 NFS 服务 器 中 共享 的 目录 。 
忆 


4. rpe. locked 
rpc. stated 守护 进程 使 用 本 进程 来 处 理 崩 溃 系 统 的 锁定 恢复 。 为 什么 要 锁定 文件 呢 ? 
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因为 既然 NFS 文件 可 以 让 众多 的 用 户 同时 使 用 ,那么 客户 端 同 时 使 用 一 个 文件 时 ,有 可 能 
会 造成 一 些 问题 。 此 时 ,rpc. locked 就 可 以 帮助 解决 这 个 难题 。 

5. rpe. stated 

rpe. stated 守护 进程 负责 处 理 客户 与 服务 器 之 间 的 文件 锁定 问题 ,确定 文件 的 一 致 性 
(与 rpc. locked 有 关 )。 当 因为 多 个 客户 端 同时 使 用 一 个 文件 造成 文件 破坏 时 ,rpc. stated 可 
以 用 来 检测 该 文件 并 尝试 恢复 。 


6. rpec. quotad 
rpc. quotad 守护 进程 提供 了 NFS 和 配额 管理 程序 之 间 的 接口 。 不 管 客户 端 是 否 通过 
NFS 对 它们 的 数据 进行 处 理 , 都 会 受 配额 限制 。 


8.2 安装、 启动 和 停止 NFS 服务 器 


要 使 用 NFS 服务 ,首先 需要 安装 NFS 服务 组 件 , 在 CentOS 7 中 ,在 默认 情况 下 , NFS 
服务 会 被 自动 安装 到 计算 机 中 。 

如 果 不 确定 是 否 安装 了 NFS 服务 , 那 就 先 检 查 计算 机 中 是 否 已 经 安装 了 NFS 支持 套 
件 。 如 果 没 有 安装 ,再 安装 相应 的 组 件 。 

1. 所 需要 的 套件 

对 于 CentOS 7 来 说 ,要 启用 NFS 服务 器 ,我 们 至 少 需要 两 个 套件 ,分 别 说 明 如 下 。 

(1) rpcbind 

NFS 服务 要 正常 运行 ,就 必须 借助 RPC 服务 的 帮助 ,做 好 端口 映射 工作 ,而 这 个 工作 就 
是 由 rpcbind 负责 的 。 

(2) nfs-utils 

nfs-utils 就 是 提供 rpc. nfsd 和 rpc. mounted 这 两 个 守护 进程 与 其 他 相关 文档 、 执 行文 
件 的 套件 ,这 是 NFS 服务 的 主要 套件 。 

2. 安装 NFS 服务 

建议 在 安装 NFS 服务 之 前 ,使 用 以 下 命令 检测 系统 是 否 安装 了 NFS 相关 性 软件 包 。 


[root@serverl ~ ]#1Fm ~- qrlgrep nfs- utils 
[root@ serverl ~ ]# rpm - qalgrep mpobind 


如 果 系 统 还 没有 安装 NFS 软件 包 , 可 以 使 用 yum 命令 安装 所 需 软件 包 。 
(1) 使 用 yum 命令 安装 NFS 服务 。 


[root@serverl ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@serverl ~ ]#Yyum install rpcbind -y 
[root@serverl ~ ]# Yum install nfs- utils ~-y 


(2) 所 有 软件 包 安 装 完毕 之 后 ,可 以 使 用 rpm 命令 再 一 次 进行 查询 。 


[root@serverl ~ ]# IEm -qalgrep nfs 
libnfsidmap- 0.25- 19.e17.x86 64 
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nfs-utils- 1.3.0- 0.54.el7.x86 64 

[root@serverl ~ ]# IEm - lgrep pc 

1ibtirpc- 0.2.4- 0.10.e17.x86 64 

mlzpc- c- 1.32.5- 1905.swn2451.e17.x86 64 
ITpcbind- 0.2.0- 44.e17.x86 64 

xmlrpc-— c- client— 1.32.5- 1905.svn2451.e17.x86 64 


3. 启动 NFS 服务 
查询 一 下 NFS 的 各 个 程序 是 否 在 正常 运行 ,命令 如 下 : 


[root@serverl ~ ]#rpcinfo -p 


如 果 没 有 看 到 nfs 和 mounted 选项 , 则 说 明 NFS 没有 运行 ,需要 启动 它 。 使 用 以 下 命 
令 可 以 启动 。 

[root@ serverl ~ ]# systemctl start rpcbind 

[root@serverl ~ ]# systemctl start nfs 

[root@serverl ~ ]# systemct] start nfs- server 

[root@ serverl ~ ]# systemctl enable nfs- server 

Created symlink fram /etc/systemd/system/mlti— user.target .wants/nfs- server.service to /usr/lib/systemd/ 

system/nfs— server.service. 

[root@serverl ~ ]# systemctl enable rpcbind 


8.3 配置 NFS 服务 


NFS 服务 的 配置 ,主要 就 是 创建 并 维护 /etc/exports 文件 。 这 个 文件 定义 了 服务 器 上 
的 哪 几 个 部 分 与 网 络 上 的 其 他 计算 机 共享 .以 及 共享 的 规则 都 有 哪些 等 。 

1. 需要 的 虚拟 机 情况 

在 VMware 虚拟 机 中 启动 两 台 Linux 系统 ,一 台 作 为 NFS 服务 器 ,主机 名 为 Serverl， 
规划 好 IP 地 址 ,比如 192. 168. 10. 1; 一 台 作 为 NFS 客户 端 ,主机 名 为 Client1, 同 样 规划 好 
IP 地 址 ,比如 192. 168. 10. 20。 配 置 NFS 服务 器 ,使 得 客户 机 Client 可 以 浏览 NFS 服务 器 
中 特定 目录 下 的 内 容 。nfs 服务 器 和 客户 端的 IP 地 址 可 以 根据 表 8-1 来 设置 。 

表 8-1 nfs 服务 器 和 客户 端 使 用 的 操作 系统 以 及 IP 地 址 


主机 名 称 操作 系统 全 地 址 网 络 连接 方式 
nfs 共享 服务 器 : Serverl CentOS 7 192. 168. 10.1 VMnetl 
Linux 客户 端 : Clientl CentOS 7 192. 168. 10. 20 VMnetl 


2. exports 文件 的 格式 

现在 来 看 看 应 该 如 何 设 定 /etc/exports 这 个 文件 。 某 些 Linux 发 行 套件 并 不 会 主动 提 
供 /etc/exports 文件 (比如 Red Hat Enterprise Linux 7 就 没有 ) ,此 时 就 需要 我 们 自己 手动 
创建 。 
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[root@ serverl ~ J]#mkdir /tpl 
[root@ serverl ~ ]#vim /etc/exports 

/bmpl 192.168.10.20/24 (ro) localhost (rw) ¥ (ro,sync) 

# 共 享 目录 苔 一 台 主 机 收 限 )] 。 呵 用 主机 名 ] 上 黄 他 主机 可 用 通配符 )] 


CD/tmp 分 别 共享 给 3 个 不 同 的 主机 或 域 。 回 主机 后 面 以 小 括号 “()" 设 置 权 
限 参数 。 著 权限 参数 不 止 一 个 时 , 则 以 到 号 ”分 开 , 且 主机 名 与 小 括号 是 连 在 
说 明 一 起 的 。 回 # 开 始 的 一 行 表示 注释 。 


在 设置 /etc/exports 文件 时 需要 特别 注意 “空格 ”的 使 用 ,因为 在 此 配置 文件 中 ,除了 分 
开 共 享 目录 和 共享 主机 以 及 分 隔 多 台 共 享 主机 外 ,其 余 的 情形 下 都 不 可 使 用 空格 。 例 如 ,以 
下 的 两 个 范例 就 分 别 表示 不 同 的 意义 。 


/hare Client (rw) 


/home Client (rw) 


在 以 上 的 第 一 行 中 ,客户 端 Client 对 /home 目录 具有 读 取 和 写 人 权限 ;第 二 行 中 客户 端 
Client 对 /home 目录 只 具有 读 取 权限 (这 是 系统 对 所 有 客户 端的 默认 值 ) 。 而 除 Client 之 外 
的 其 他 客户 端 对 /home 目录 具有 读 取 和 写 人 权限 。 


3. 主机 名 规则 

设置 方法 很 简单 ,每 一 行 最 前 面 是 要 共享 出 来 的 目录 ,然后 这 个 目录 可 以 依照 不 同 的 权 
限 共享 给 不 同 的 主机 。 

主机 名 称 的 设 定 主要 有 以 下 几 种 方式 。 

(1) 可 以 使 用 完整 的 IP 地 址 或 者 网 段 , 例 如 192. 168. 0. 3、192. 168. 0. 0/24 或 192. 
168. 0. 0/255. 255. 255. 0 都 可 以 接受 。 

(2) 可 以 使 用 主机 名 称 ,这 个 主机 名 称 要 在 /etc/hosts 内 或 者 使 用 DNS, 只 要 能 被 找到 
就 行 (重点 是 可 以 找到 IP 地 址 )。 如 果 是 主机 名 称 ,那么 它 可 以 支持 通配符 ,例如 ”x ”或 “?” 
均 可 以 接受 。 


4. 权限 规则 

权限 方面 (就 是 小 括号 内 的 参数 ) 常 见 的 参数 则 有 以 下 几 种 。 

。 rw: 即 read-write, 表 示 可 读 / 写 的 权限 。 

。 ro: 即 read-only ,表示 只 读 权限 。 

。 sync: 数据 同步 写 人 到 内 存 与 硬盘 中 。 

。 async: 数据 会 先 暂 存 于 内 存 中 ,而 非 直 接 写 入 硬盘 。 

。 no_root_squash: 登录 NFS 主机 使 用 共享 目录 的 用 户 。 如 果 是 root, 那 么 对 于 这 个 
共享 的 目录 来 说 , 它 就 具有 root 的 权限 。 这 个 设置 “ 极 不 安全 ”, 不 建议 使 用 。 
root_squash: 在 登录 NFS 主机 使 用 共享 目录 的 用 户 如 果 是 root, 那 么 这 个 用 户 的 权 
限 将 被 压缩 成 匿名 用 户 . 它 的 UID 与 GID 通常 都 会 变 成 nobody(nfsnobody) 这 个 系 
统 账号 的 身份 。 
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。 all_squash: 不 论 登 录 NFS 的 用 户 身 份 如 何 , 它 的 身份 都 会 被 压缩 成 匿名 用 户 , 即 
nobodyCnfsnobody) 。 

anonuid: anon 是 指 anonymous( 匿 名 者 )。 前 面 关 于 术语 squash 提 到 的 匿名 用 户 的 
UID 设 定 值 通常 为 nobody(nfsnobody) ,但 是 可 以 自行 设 定 这 个 UID 值 。 当 然 ,这 
个 UID 必须 要 存在 于 你 的 /etc/passwd 当中 。 

anongid: 同 anonuid, 变 成 Group ID 就 可 以 了 。 


8.4 了 解 NFS 服务 的 文件 存 取 权限 


由 于 NFS 服务 本 身 并 不 具备 用 户 身份 验证 功能 ,那么 当 客户 端 访问 时 ,服务 器 该 如 何 
识别 用 户 呢 ? 主要 有 以 下 几 个 标准 。 


1. root 账户 
如 果 客 户 端 是 以 root 账户 去 访问 NFS 服务 器 资源 ,基于 安全 方面 的 考虑 ,服务 器 会 主 
动 将 客户 端 改 成 匿名 用 户 。 所 以 ,root 账户 只 能 访问 服务 器 上 的 匿名 资源 。 


2. NFS 服务 器 上 有 客户 端 账号 
客户 端 根据 用 户 和 组 (UID、GID) 来 访问 NFS 服务 器 资源 时 ,如 果 NFS 服务 器 上 有 对 
应 的 用 户 名 和 组 ,就 访问 与 客户 端 同名 的 资源 。 


3. NFS 服务 器 上 没有 客户 端 账号 
如 果 NFS 服务 器 上 没有 客户 端 账号 ,此 时 客户 端 只 能 访问 匿名 资源 。 


8.5 在 客户 端 挂 载 NFS 文件 系统 


Linux 下 有 多 个 好 用 的 命令 行 工具 ,用 于 查看 .连接 、 印 载 . 使 用 NFS 服务 器 上 的 共享 
资源 。 

1. 配置 NFS 客户 端 

配置 NFS 客户 端的 一 般 步骤 如 下 : 

(1) 安装 nfs-utils 软件 包 。 

(2) 识别 要 访问 的 远程 共享 。 


showmount -e NES 服务 器 IP 
(3) 确定 挂 载 点 。 
mkdir /mt/nfstest 


(4) 使 用 命令 挂 载 NFS 共享 。 


mount -t nfs NES 服 务 器 IP:/gongxiang /mt/nfstest 
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(5) 修改 fstab 文件 来 实现 NFS 共享 的 永久 挂 载 。 


Vim /etc/fstab 


2. 查看 NFS 服务 器 信息 
在 CentOS 7 下 查看 NFS 服务 器 上 的 共享 资源 使 用 的 命令 为 showmount, 它 的 语法 格 
式 如 下 : 


[root@ serverl ~ ]# showmcunt [~ adehv] [ServerNeme] 


参数 说 明 如 下 。 

。 -a: 查看 服务 器 上 的 输出 目录 和 所 有 连接 客户 端 信息 。 显 示 格 式 为 "host: dir”。 

。 -d: 只 显示 被 客户 端 使 用 的 输出 目录 信息 。 

。 -e: 显示 服务 器 上 所 有 的 输出 目录 (共享 资源 )。 

比如 ,如 果 服 务 器 的 IP 地 址 为 192. 168. 10. 1, 如果 想 查 看 该 服务 器 上 的 NFS 共享 资 
源 , 则 可 以 执行 以 下 命令 。 

[root@ serverl ~ ]# systemctl restart nfs- server 

[root@ serverl ~ ]# showmount: ~-@ 192.168.10.1 

Export list for 192.168.10.1: 

/trpl (everyone) 


3. 在 客户 端 加 载 NFS 服务 器 共享 目录 
在 CentOS 7 中 加 载 NFS 服务 器 上 的 共享 目录 的 命令 为 mount( 就 是 那个 可 以 加 载 其 
他 文件 系统 的 mount) 。 


[root@Clientl~ ]#mount -tnfs 服务 器 名 称 或 地 址 :输出 目录 挂 载 目录 


比如 ,要 加 载 192. 168. 0. 3 这 台 服 务 器 上 的 /sharel 目录 , 则 需要 依次 执行 以 下 操作 。 
(1) 创建 本 地 目录 。 
首先 在 客户 端 创建 一 个 本 地 目录 ,用 来 加 载 NFS 服务 器 上 的 输出 目录 。 


[rooteclientl ~ J#mkdir /mt/nfs 


(2) 加 载 服务 器 目录 。 
再 使 用 相应 的 mount 命令 加 载 。 


[root@Clientl~ ]#mount —t nfs 192.168.10.1:/trpl /mt/nfs 
思考 : 如 果 出 现 以 下 错误 信息 ,应 该 如 何 处 理 ? 


[root@ serverl~ ]# showmount 192.168.10.1 -e 
CInt_ create: REC: Port mepper failure - Unable to receive: ermo 113 (pb route to host) 
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出 现 错误 的 原因 是 NFS 服务 器 的 防火 墙 阻止 了 客户 端 访问 NFS 服务 器 。 由 于 NFS 使 
用 了 许多 端口 ,即使 开放 了 NFS4 服务 .仍然 可 能 有 问题 ,读者 可 以 把 防火 墙 禁用 。 
禁用 防火 墙 的 命令 如 下 : 


[root@serverl ~ ]# systemctl] stcp firewalld 


4. 和 拖 载 NFS 服务 器 共享 目录 
要 印 载 刚才 加 载 的 NFS 共享 目录 , 则 执行 以 下 命令 。 


[root@Client~ J#umount /mt/nfs 


5. 在 客户 端 启动 时 自动 挂 载 NFS 

CentOS 7 下 的 自动 加 载 文件 系统 都 是 在 /etc/fstab 中 定义 的 ,NFS 文件 系统 也 支持 自 
动 加 载 。 

(1) 编辑 fstab 

用 文本 编辑 器 打开 /etc/fstab ,在 其 中 添加 以 下 一 行 命令 。 


192.168.10.1:/bmpl /mt/nfs nfs default 00 


(2) 使 设置 生效 
执行 以 下 命令 ,重新 加 载 fstab 文件 中 定义 的 文件 系统 。 


[root@Client ~ ]#mount -a 


8.6 排除 NFS 故障 


与 其 他 网 络 服 务 一 样 ,运行 NFS 的 计算 机 同样 可 能 出 现 问 题 。 当 NFS 服务 无 法 正常 
工作 时 ,需要 根据 NFS 相关 的 错误 消息 选择 适当 的 解决 方案 。NFS 采用 C/S 结构 ,并 通过 
网 络 通信 ,因此 ,可 以 将 常见 的 故障 点 划分 为 3 个 : 网 络 、 客 户 端 或 者 服务 器 。 


1. 网 络 

对 于 网 络 故障 主要 有 两 个 方面 的 常见 问题 。 

(1) 网 络 无 法 连通 

使 用 ping 命令 检测 网 络 是 否 连通 ,如 果 出 现 异 常 ,请 检查 物理 线路 、 交 换 机 等 网 络 设 
备 ,或 者 计算 机 的 防火 墙 设置 。 

(2) 无 法 解析 主机 名 

对 于 客户 端 而 言 ,无 法 解析 服务 器 的 主机 名 可 能 会 导致 使 用 mount 命令 挂 载 时 失败 ,并 
且 服 务 器 如 果 无 法 解析 客户 端的 主机 名 ,在 进行 设置 时 同样 会 出 现 错误 ,所 以 需要 在 
/etc/hosts 文件 中 添加 相应 的 主机 记录 。 
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2. 客户 端 

客户 端 在 访问 NFS 服务 器 时 多 使 用 mount 命令 。 下 面 将 列 出 常见 的 错误 信息 以 供 大 
家 参考 。 

(1) 服务 器 的 防火 墙 问题 。 

如 果 出 现 以 下 错误 信息 : 


[root@serverl~ ]# showmount 192.168.10.1 ~-e 
Clnt create: REC: Fort mapper failure -Unable to reoeive: ermo 113 (Wb route to host) 


解决 方法 是 禁用 防火 墙 ,命令 如 下 : 
[root@ serverl ~ ]# systemctl stcp firewalld 


(2) 服务 器 无 响应 : 端口 映射 失败 ,RPC 超时 。 

NFS 服务 器 已 经 关机 ,或 者 其 RPC 端口 映射 进程 (portmap) 已 关闭 。 重 新 启动 服务 器 
的 portmap 程序 ,更正 该 错误 。 

(3) 服务 器 无 响应 : 程序 未 注册 。 

mount 命令 发 送 请 求 到 达 NFS 服务 器 端口 映射 进程 ,但 是 NFS 相关 守护 程序 没有 注 
册 。 具 体 解决 方法 在 服务 器 设 定 中 有 详细 介绍 。 

(4) 拒绝 访问 。 

客户 端 不 具备 访问 NFS 服务 器 共享 文件 的 权限 。 

(5) 不 被 允许 。 

执行 mount 命令 的 用 户 权限 过 低 , 必 须 具 有 root 身份 或 是 系统 组 的 成 员 才 可 以 运行 
mount 命令 ,也 就 是 说 只 有 root 用 户 和 系统 组 的 成 员 才 能 够 进行 NFS 安装 、 印 装 操作 。 

3. 服务 器 

(1) NFS 服务 进程 状态 

为 了 使 NFS 服务 器 正常 工作 ,首先 要 保证 所 有 相关 的 NFS 服务 进程 为 开启 状态 。 

使 用 rpcinfo 命令 可 以 查看 RPC 的 相应 信息 ,命令 格式 如 下 : 


zpcinfo -P 主机 名 或 王 地 址 


登录 NFS 服务 器 后 ,使 用 rpcinfo 命令 检查 NFS 相关 进程 的 启动 情况 。 

如 果 NFS 相关 进程 并 没有 启动 ,使 用 service 命令 启动 NFS 服务 ,再 次 使 用 rpcinfo 命 
令 进行 测试 ,直到 NFS 服务 工作 正常 。 

(2) 注册 NFS 服务 

虽然 NFS 服务 正常 开启 ,但 是 如 果 没 有 进行 RPC 的 注册 ,客户 端 依然 不 能 正常 访问 
NFS 共享 资源 ,所 以 需要 确认 NFS 服务 已 经 进行 注册 。rpcinfo 命令 能 够 提供 检测 功能 , 命 
令 格式 如 下 : 


tpcinfo -u 主机 名 或 下 进程 
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假设 在 NFS 服务 器 上 需要 检测 rpc. nfsd 是 否 注册 ,可 以 使 用 以 下 命令 。 


[root@serverl ~ ]# rpcinfo ~-u 192.168.8.188 nfs 


出 现 该 提示 ,表明 rpc. nfsd 进程 没有 注册 , 则 需要 在 开启 RPC 以 后 再 启动 NFS 服务 进 
行 注册 。 


[root@ serverl ~ ]# systemct] start rpcbind 
[root@ serverl ~ ]# systemctl restart nfs 


执行 注册 以 后 ,再 次 使 用 rpcinfo 命令 进行 检测 。 


[root@ serverl ~ ]# rpcinfo ~-u 192.168.8.188 nfs 
[root@ serverl ~ ]# rpcinfo ~ u 192.168.8.188 mount 


如 果 一 切 正常 ,会 发 现 NFS 相关 进程 的 v2、v3 以 及 v4 版 本 均 已 注册 完毕 ,NFS 服务 器 
可 以 正常 工作 。 

(3) 检测 共享 目录 输出 

客户 端 如 果 无 法 访问 服务 器 的 共享 目录 ,可 以 登录 服务 器 进行 配置 文件 的 检查 。 确 保 
/etc/exports 文件 设 定 共 享 目录 ,并 且 客 户 端 拥有 相应 权限 。 通 常情 况 下 ,使 用 showmount 
命令 能 够 检测 NFS 服务 器 的 共享 目录 的 输出 情况 。 


[root@ serverl ~ ]# showmount ~-e 192.168.8.188 


4. 故障 诊断 的 一 般 步 又 

(1) 检查 NFS 客户 端 和 NFS 服务 器 之 间 的 通信 和 是 否 正常 。 
(2) 检查 NFS 服务 器 上 的 防火 墙 是 否 正常 关闭 。 

(3) 检查 NFS 服务 器 上 的 NFS 服务 是 否 正常 运行 。 

(4) 验证 NFS 服务 器 的 /etc/exports 文件 的 语法 是 否 正 确 。 
(5) 检查 客户 端的 NFS 文件 系统 服务 是 否 正常 。 

(6) 验证 /etc/fstab 文件 中 的 配置 是 否 正确 。 


8.7 练习 题 

一 、 填 空 题 

1. Linux 和 Windows 之 间 可 以 通过 进行 文件 共享 .UNIX/Linux 操作 系统 之 
间 通 过 进行 文件 共享 。 

2. NFS 的 英文 全 称 是 :中 文 名 称 是 

3. RPC 的 英文 全 称 是 :中 文 名 称 是 。RPC 最 主要 的 功能 就 是 记录 每 


个 NFS 功能 所 对 应 的 端口 , 它 工作 在 固定 端口 
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4. Linux 下 的 NFS 服务 主要 由 6 部 分 组 成 ,其 中 . 是 NFS 
必需 的 。 

5. 守护 进程 的 主要 作用 就 是 判断 .检查 客户 端 是 否 具备 登录 主机 的 权限 , 负 
责 处 理 NFS 请 求 。 

6. 是 提供 rpc. nfsd 和 rpc. mounted 这 两 个 守护 进程 与 其 他 相关 文档 、 执 行文 
件 的 套件 。 

7. 在 CentOS 7 下 查看 NFS 服务 器 上 的 共享 资源 使 用 的 命令 为 , 它 的 语法 格 
式 是 

8. CentOS 7 下 的 自动 加 载 文件 系统 是 在 中 定义 的 。 

二 、 选 择 题 


1. NFS 工作 站 要 用 mount 命令 连接 远程 NFS 服务 器 上 的 一 个 目录 的 时 候 , 以 下 
) 是 服务 器 端 必需 的 。 
A. rpcbind 必须 启动 
B. NFS 服务 必须 启动 
C. 共享 目录 必须 加 在 /etc/exports 文件 里 
D. 以 上 全 部 都 需要 
2. 完成 加 载 NFS 服务 器 svr. jnrp. edu. cn 的 /home/nfs 共享 目录 到 本 机 的 /home2 目 
录 , 正 确 的 命令 是 ( 5 
A. mount -t nfs svr. jnrp. edu. cn:/home/nfs /home2 


mount -t -s nfs svr. jnrp. edu. cn. /home/nfs /home2 


nfsmount -s svr. jnrp. edu. cn /home/nfs /home2 
) 命 令 用 来 通过 NFS 使 磁盘 资源 被 其 他 系统 使 用 。 
A. share B. mount C. export D. exportfs 
4. 以 下 NFS 系统 中 关于 用 户 ID 映射 正确 的 描述 是 ( 和 
A. 服务 器 上 的 root 用 户 默认 值 和 客户 端的 一 样 
B. root 被 映射 到 nfsnobody 用 户 
C，root 不 被 映射 到 nfsnobody 用 户 
D. 默认 情况 下 ,anonuid 不 需要 密码 
5. 假设 公司 有 10 台 Linux Servers, 想 用 NFS 在 Linux Servers 之 间 共 享 文件 , 则 应 该 
修改 的 文件 是 (  )。 
A. /etc/exports B. /etc/crontab 
C. /etc/named. conf D. /etc/smb. conf 
6. 查看 NFS 服务 器 192. 168. 12. 1 中 的 共享 目录 的 命令 是 ( 。 )。 
A. show -e 192.168.12.1 
B. show //192.168.12.1 
C. showmount -e 192. 168. 12. 1 
D. showmount -1 192. 168. 12. 1 
7. 装载 NFS 服务 器 192. 168. 12. 1 的 共享 目录 /tmp 到 本 地 目录 /mnt/shere 中 的 命 


B, 

C. nfsmount svr. jnrp. edu. cn:/home/nfs /home2 
| 

( 
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令 是 (  )。 
A. mount 192. 168. 12. 1/tmp /mnt/shere 
B. mount -t nfs 192. 168. 12. 1/tmp /mnt/shere 
C. mount -t nfs 192. 168. 12. 1:/tmp /mnt/shere 
D. mount -t nfs //192. 168. 12. 1/tmp /mnt/shere 


8.8 项 目 实录 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观看 视频 。 


2. 项 目 背景 

某 企 业 的 销售 部 有 一 个 局 域 网 ,域名 为 xs. mq. cn。 网 络 拓 扑 如 图 8-1 
所 示 。 网 内 有 一 台 Linux 的 共享 资源 服务 器 Share Server, 域名 为 i 
ShareServer. xs. mq. cn。 现 要 在 Share Server 服务 器 上 配置 NFS 服务 器 ， 
使 销售 部 内 的 所 有 主机 都 可 以 访问 Share Server 服务 器 中 的 /share 共享 目录 中 的 内 容 , 但 
不 允许 客户 机 更 改 共 享 资源 的 内 容 。 同 时 ,让 主机 China 在 每 次 系统 启动 时 自动 挂 载 Share 
Server 的 /share 目录 中 的 内 容 到 China3 的 /sharel 目录 下 。 


xs.mq.cn 


Share Server China 
NFS NFS-Client 


shareserver.xs.qm.cn 


图 8-1 搭建 Samba 服务 器 所 需 的 网 络 拓扑 


3. 深度 思考 

在 观看 视频 时 思考 以 下 几 个 问题 。 

(1) hostname 的 作用 是 什么 ”其 他 为 主机 命名 的 方法 还 有 哪些 ?哪些 是 临时 生效 的 ? 
(2) 配置 共享 目录 时 使 用 了 什么 通配符 ? 

(3) 同步 与 异步 选项 如 何 应 用 ? 作用 是 什么 ? 

(4) 在 视频 中 为 了 给 其 他 用 户 赋予 读 写 权 限 使 用 了 什么 命令 ? 

(5) showmount 与 mount 命令 在 什么 情况 下 使 用 ? 本 项 目 使 用 它 完 成 了 什么 功能 ? 
(6) 如 何 实 现 NFS 共享 目录 的 自动 挂 载 ? 本 项 目 是 如 何 实 现 自动 挂 载 的 ? 


> Ta00 | < 
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4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效果 。 


8.9 实 训 : NFS 服务 器 配置 


1. 实 训 目的 及 内 容 

(1) 掌握 Linux 系统 之 间 资 源 共享 和 互 访 的 方法 。 
(2) 掌握 NFS 服务 器 和 客户 端的 安装 与 配置 方法 。 
(3) 练习 NFS 服务 器 的 安装 .配置 .启动 与 测试 。 


2. 实 训练 习 
(1) 在 VMware 虚拟 机 中 启动 两 台 Linux 系统 ,一 台 作为 NFS 服务 器 ,本 例 中 给 出 的 
IP 地 址 为 192. 168. 203. 1; 一 台 作 为 NFS 客户 端 ,本 例 中 给 出 的 IP 地 址 为 192. 168. 203. 2。 
配置 一 台 NFS 服务 器 ,使 得 客户 机 可 以 浏览 NFS 服务 器 中 /home/ftp 目录 下 的 内 容 , 但 不 
可 以 修改 。 
。 NFS 服务 器 的 配置 。 
检测 NFS 所 需 的 软件 包 是 否 安装 。 如 果 没 有 安装 , 则 利用 yum 命令 进行 安装 。 
名 修改 配置 文件 /etc/exports, 添 加 如 下 行 : 


/home/ftp 192.168.203.2(ro) 


名 修改 配置 文件 后 ,存盘 退出 。 
避 启 动 NFS 服务 。 
名 检查 NFS 服务 器 的 状态 ,看 是 否 正常 启动 。 
NFS 客户 端的 配置 。 
名 将 NFS 服务 器 (192. 168. 203. 1) 上 的 /home/ftp 目录 安装 到 本 地 计算 机 192. 
168. 203.2 的 /home/test 目录 下 。 
名 利用 showmount 命令 显示 NFS 服务 器 上 输出 到 客户 端的 共享 目录 。 
名 挂 载 成 功 后 可 以 利用 ls 等 命令 操作 /home/test 目录 ,实际 操作 的 为 192. 168. 
203. 1 服务 器 上 /home/ftp 目录 下 的 内 容 。 
避 印 载 共享 目录 。 
。 设 置 NFS 服务 在 运行 级 别 3 和 5 下 的 自动 启动 。 
乞 检 测 NFS 服务 的 自 启动 状态 。 
辟 设置 rpcbind 和 NFS 服务 在 系统 运行 级 别 3 和 5 下 的 自动 启动 。 

(2) 有 一 个 局 域 网 ,域名 为 computer. jnrp. cn, 网 内 有 两 台 主 机 Clientl 和 Serverl1。 现 
要 在 Serverl 上 配置 NFS 服务 器 .使 本 域内 的 所 有 主机 访问 NFS 服务 器 的 /home 目录 。 同 
时 ,让 主机 Clientl 在 每 次 系统 启动 时 挂 装 Serverl 的 /home 目录 到 Clientl 的 /homel 目 
录 下 。 

配置 Serverl NFS 服务 器 。 

。 编辑 /etc/exports 文件 ,添加 如 下 行 。 
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/home * .camputer.jnrp-cn(ro) 


。 保存 文件 并 退出 。 

。 启动 NFS 服务 。 

。 配置 NFS 客户 端 Clientl 。 

。 建立 安装 点 /homel。 

。 将 服务 器 Serverl 中 的 /home 目录 安装 到 Clientl 的 /homel 目录 下 。 
。 修改 /etc/fstab 文件 ,使 得 系统 自动 完成 文件 系统 挂 载 的 任务 。 


3. 实 训 报 告 
按 要 求 完成 实 训 报告 。 


第 9 章 
Sanba 服务 器 配 置 


利用 Samba 服务 可 以 实现 Linux 系统 和 Microsoft 公司 的 Windows 系统 
之 间 的 资源 共享 。 本 章 主要 介绍 Linux 系统 中 Samba 服务 器 的 配置 ,以 实现 文 
件 和 打印 共享 。 


。 Samba 简介 及 配置 文件 。 
(%) 。 Samba 文件 和 打印 共享 的 设置 。 


。 Linux 和 Windows 资源 共享 。 


9.1 Samba 简介 


Samba 是 一 套 让 Linux 系统 能 够 应 用 Microsoft 网 络 通信 协议 的 软 回 和 eq 
件 , 它 使 执行 Linux 系统 的 计算 机 能 与 执行 Windows 系统 的 计算 机 进行 
文件 与 打印 共享 。Samba 使 用 一 组 基于 TCP/IP 的 SMB 协议 ,通过 网 络 
共享 文件 及 打印 机 ,这 组 协议 的 功能 类 似 于 NFS 和 lpd(Linux 标准 打印 服 
务 器 )。 支 持 此 协议 的 操作 系统 包括 Windows、Linux 和 OS/2。Samba 服 
务 在 Linux 和 Windows 系统 共存 的 网 络 环境 中 尤为 有 用 。 

和 NFS 服务 不 同 的 是 ,NFS 服务 只 用 于 Linux 系统 之 间 的 文件 共享 ,而 Samba 可 以 实 
现 Linux 系统 之 间 及 Linux 和 Windows 系统 之 间 的 文件 和 打印 共享 。SMB 协议 使 Linux 
系统 的 计算 机 在 Windows 上 的 网 上 邻居 中 看 起 来 如 同一 台 Windows 计算 机 。 

1.SMB 协议 

SMB(Server Message Block) 通 信 协 议 可 以 看 作 局 域 网 上 共享 文件 和 打印 机 的 一 种 协 
议 。 它 是 微软 和 英特尔 在 1987 年 制定 的 协议 ,主要 是 作为 Microsoft 网 络 的 通信 协议 ,而 
Samba 则 是 将 SMB 协议 搬 到 UNIX 系统 上 使 用 。 通 过 NetBIOS over TCP/IP 使 用 Samba 
不 但 能 与 局 域 网 络 主机 共享 资源 ,也 能 与 全 世界 的 计算 机 共享 资源 。 因 为 互联 网 上 千 千 万 
万 的 主机 所 使 用 的 通信 协议 就 是 TCP/IP。SMB 是 在 会 话 层 和 表示 层 及 小 部 分 的 应 用 层 的 协 
议 ,SMB 使 用 了 NetBIOS 的 应 用 程序 接口 API。 另 外 , 它 是 一 个 开放 性 的 协议 ,允许 协议 扩展 ， 
这 使 得 它 变 得 庞大 而 复杂 ,大 约 有 65 个 最 上 层 的 作业 .而 每 个 作业 都 超过 120 个 函数 。 
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2. Samba 软件 

Samba 是 用 来 实现 SMB 协议 的 一 种 软件 ,由 澳大利亚 的 Andew Tridgell 开发 ,是 一 套 
让 UNIX 系统 能 够 应 用 Microsoft 网 络 通信 协议 的 软件 。 它 使 执行 UNIX 系统 的 机 器 能 与 
执行 Windows 系统 的 计算 机 共享 资源 。Samba 是 属于 GNU Public License(GPL) 的 软件 ， 
因此 可 以 合法 而 免费 地 使 用 。 作 为 类 UNIX 系统 ,Linux 系统 也 可 以 运行 这 套 软件 。 

Samba 的 运行 包含 两 个 后 台 守 护 进程 nmbd 和 smbd, 它 们 是 Samba 的 核心 ,在 
Samba 服务 器 启动 到 停止 运行 期 间 持续 运行 。nmbd 监听 137 和 138 UDP 端口 ,smbd 监听 
139 TCP 端口 。nmbd 守护 进程 使 其 他 计算 机 可 以 浏览 Linux 服务 器 ,smbd 守护 进程 在 
SMB 服务 请 求 到 达 时 对 它们 进行 处 理 , 并 且 为 被 使 用 或 共享 的 资源 进行 协调 。 在 请 求 访问 
打印 机 时 ,smbd 把 要 打印 的 信息 存储 到 打印 队列 中 ;在 请 求 访问 一 个 文件 时 ,smbd 把 数据 
发 送 到 内 核 , 最 后 把 它 存 到 磁盘 上 。smbd 和 nmbd 使 用 的 配置 信息 全 部 保存 在 /etc/ 
samba/smb. conf 文件 中 。 


3. Samba 的 功能 

目前 ,Samba 的 主要 功能 如 下 : 

(1) 提供 Windows 风格 的 文件 和 打印 机 共享 。Windows 9x、Windows 2000/2003、 
Windows XP、Windows 2003 等 操作 系统 可 以 利用 Samba 共享 Linux 等 其 他 操作 系统 上 的 
资源 ,外 表 看 起 来 和 共享 Windows 的 资源 没有 区 别 。 

(2) 解析 NetBIOS 名 字 。 在 Windows 网 络 中 为 了 能 够 利用 网 上 资源 ,同时 使 自己 的 资 
源 也 能 被 别人 所 利用 ,各 个 主机 都 定期 向 网 上 广播 自己 的 身份 信息 。 而 负责 收集 这 些 信息 
并 为 其 他 主机 提供 检索 的 服务 器 称 为 浏览 服务 器 。Samba 可 以 有 效 地 完成 这 项 功能 。 在 跨 
越 网 关 的 时 候 ,Samba 还 可 以 作为 WINS 服务 器 使 用 。 

(3) 提供 SMB 客户 功能 。 利 用 Samba 提供 的 SMBClient 程序 可 以 在 Linux 上 像 使 用 
FTP 一 样 访 问 Windows 的 资源 。 

(4) 提供 一 个 命令 行 工具 ,利用 该 工具 可 以 有 限制 地 支持 Windows 的 某 些 管理 功能 。 

(5) 支持 SWAT(Samba Web Administration Tool) 和 SSL(Secure Socket Layer) 。 


9.2 配置 Samba 服务 


9.2.1 安装 并 启动 Samba 服务 


(1) 建议 在 安装 Samba 服务 之 前 ,使 用 rpm -qa |grep samba 命令 检测 系统 是 否 安装 了 Samba 
相关 性 软件 包 , 然 后 再 根据 情况 决定 是 否 安装 Samba 软件 。(yun 安装 环境 沿用 第 4 章 的 内 容 。) 


[root@serverl~ ]# Fm - qa |grep sorba 

[root@serverl ~ ]# ym clean all // 安 装 前 先 清除 缓存 
[root@serverl~ ]# yum install senba 一 Y 

(2) 所 有 软件 包 安 装 完毕 之 后 ,可 以 使 用 rpm 命令 再 一 次 进行 查询 。 


[root@serverl ~ ]#rpm -qa | grep senrba 
saribar- commpn- tools- 4.7.]- 6.e17.x86 64 


> a0 | < 
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Sarba— cmon— 4.7.1— 6.el7.ncarch 
sarba- client- libs- 4.7.1- 6.e17.x86 64 
sarba- libs-— 4.7.1- 6.e17.x86 64 

sanba- common— libs— 4.7.1- 6.e17.x86 64 
Sanba- 4.7.1- 6.el7.x86 64 


(3) 启动 与 停止 Samba 服务 ,设置 开机 启动 。 


[root@serverl ~ ]# systemctl start smb 

[root@ serverl ~ ]# systemct]l enable sb 

Created symlink from /etc/systemd/system/mlti— user.target.wants/smb.service 
to /usr/lib/systemd/system/srb.service. 

[root@serverl ~ ]# systemctl] restart nb 

[root@ serverl ~ ]# systemct] stcp sb 

[root@serverl ~ ]# systemctl start smb 


当 在 Linux 服务 中 ,更 改 配置 文件 后 .一定 要 记得 重启 服务 ,让 服务 重新 加 载 
配置 文件 ,这 样 新 的 配置 才 可 以 生效 。 


注音 
江 忆 


9.2.2 了 解 Samba 服务 器 配置 的 工作 流程 


在 Samba 服务 安装 完毕 后 ,并 不 是 直接 可 以 使 用 Windows 或 Linux 的 客户 端 访 问 
Samba 服务 器 ,还 必须 对 服务 器 进行 设置 : 告诉 Samba 服务 器 将 哪些 目录 共享 出 来 给 客户 
端 进 行 访问 ,并 根据 需要 设置 其 他 选项 ,比如 添加 对 共享 目录 内 容 的 简单 描述 信息 和 访问 权 
限 等 具体 设置 。 


1. 基本 的 Samba 服务 器 的 搭建 流程 

基本 的 Samba 服务 器 的 搭建 流程 主要 分 为 以 下 几 个 步骤 。 

(1) 编辑 主 配置 文件 smb. conf ,指定 需要 共享 的 目录 ,并 为 共享 目录 设置 共享 权限 。 
(2) 在 smb. conf 文件 中 指定 日 志文 件 名 称 和 存放 路 径 。 

(3) 设置 共享 目录 的 本 地 系统 权限 。 

(4) 重新 加 载 配置 文件 或 重新 启动 SMB 服务 ,使 配置 生效 。 

(5) 关闭 防火 墙 ,同时 设置 SELinux 为 允许 。 


2. Samba 的 工作 流程 

Samba 的 工作 流程 如 图 9-1 所 示 。 

@ 客户 端 请 求 访问 Samba 服务 器 上 的 Share 共享 目录 。 

@ Samba 服务 器 接收 到 请 求 后 ,会 查询 主 配 置 文件 smb. conf, 看 是 否 共享 了 Share 目 
录 , 如 果 共 享 了 这 个 目录 , 则 查看 客户 端 是 否 有 权限 访问 。 

@ Samba 服务 器 会 将 本 次 访问 信息 记录 在 日 志文 件 中 ,日 志文 件 的 名 称 和 路 径 都 需要 
设置 。 

@ 如 果 客 户 端 满足 访问 权限 设置 , 则 允许 客户 端 进行 访问 。 
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主 配置 文件 


让 T * (smb.conf) 


了 _ 
客户 站 Samba 服 务 器 - @ .- 重 日 志文 件 


图 9-1 Samba 的 工作 流程 


四 


9.2.3 主要 配置 文件 smb. conf 


Samba 的 配置 文件 一 般 就 放 在 /etc/samba 目录 中 , 主 配 置 文件 名 为 smb. conf 。 


1. Samba 服务 程序 中 的 参数 以 及 作用 
使 用 11 命令 查看 smb. conf 文件 属性 ,并 使 用 vim /etc/samba/smb. conf 命令 查看 文件 
的 详细 内 容 , 如 图 9-2 所 示 。 


文件 (F) 编辑 (5) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 
TD Sambal # ll /etc/samba 


rwr-r-.1lroot root 20 4 有 13 23:34 lmhosts 

rw rr. 1 root root 34 [smb. conf 
rw.r-r-. 1 root root 11327 4 月 13 23:34 smb. conT.exanple 
Lroot8serverl sambal# 用 


图 9-2 查看 smb. conf 配置 文件 


CentOS 7 的 smb. conf 配置 文件 已 经 很 简略 ,只 有 36 行 左 右 。 为 了 更 清楚 地 了 解 配置 
文件 ,建议 研读 /etc/samba/smb. conf. example。Samba 开发 组 按照 功能 不 同 ,对 smb. conf 
文件 进行 了 分 段 划 分 ,条 理 非常 清楚 。 表 9-1 罗列 了 主 配 置 文件 的 参数 以 及 相应 的 注释 


说 明 。 
表 9-1 Samba 服务 程序 中 的 参数 以 及 作用 
参数 作 用 
workgroup = MYGROUP 工作 组 名 称 ,比如 workgroup 王 SmileGroup 
有 = Se Serer 服务 器 描述 ,参数 %v 用 于 显示 SMB 版 本 号 
Version Hv 
log file = /var/log/samba/log. %m Re 称 ,参数 %m 表示 来 
max log size = 50 定义 日 志文 件 的 最 大 容量 为 50KB 
[global] 
security = user 安全 验证 的 方式 ,共有 4 种 ,比如 security 二 user 
share 来 访 主 机 无 须 验 证 口令 。 比 较 方便 ,但 安全 性 很 差 
需 验证 来 访 主机 提供 的 口令 后 才 可 以 访问 。 提 升 了 
ee 安全 性 ,是 默认 方式 
使 用 独立 的 远程 主机 验证 来 访 主机 提供 的 口令 ( 集 
中 管理 账户 ) 
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续 表 
参数 作 用 
domain 使 用 域 控制 器 进行 身份 验证 
passdb backend = tdbsam 定义 用 户 后 台 的 类 型 ,共有 3 种 
se 使 用 smbpasswd 命令 为 系统 用 户 设置 Samba 服务 
程序 的 密码 
[global] | (gpsam 创建 数据 库 文件 并 使 用 pdbedit 命令 建立 Samba 服 
务 程序 的 用 户 
ldapsam 基于 LDAP 服务 进行 账户 验证 
load printers 一 yes 设置 在 Samba 服务 启动 时 是 否 共享 打印 机 设备 
cups options = raw 打印 机 的 选项 
共享 参数 
comment 一 Home Directories 描述 信息 
[homes] 
browseable = no 指定 共享 信息 是 否 在 “网 上 邻居 ”中 可 见 
writable 一 yes 定义 是 否 可 以 执行 写 人 操作 ,与 read only 相反 
[printers] 打印 机 共享 参数 


中 恢复 主 配置 文件 。 操 作 如 下 : 


加 为 了 方便 配置 ,建议 先 备份 smb. conf ,一旦 发 现 错误 ,可 以 随时 从 备份 文件 


[root@serverl ~ ]# 0d /etc/sanba 
[root@ serverl sarba]# 13 
[root@serverl sanba]# qp sub.ccnf smb.conf.bak 


2. 共享 服务 的 定义 

Share Definitions 设置 对 象 为 共享 目录 和 打印 机 。 如 果 想 要 发 布 共 享 资源 ,需要 对 
Share Definitions 部 分 进行 配置 。Share Definitions 字段 内 容 非常 丰富 ,设置 灵活 。 

先 来 看 一 下 几 个 最 常用 的 字段 。 

(1) 设置 共享 名 

共享 资源 发 布 后 ,必须 为 每 个 共享 目录 或 打印 机 设置 不 同 的 共享 名 , 供 网 络 用 户 访问 时 
使 用 ,并 且 共 享 名 可 以 与 原 目 录 名 不 同 。 

共享 名 设置 非常 简单 ,格式 如 下 : 


工 享 名 ] 


(2) 共享 资源 描述 

网 络 中 存在 各 种 共享 资源 ,为 了 方便 用 户 识别 ,可 以 为 其 添加 备注 信息 ,以 方便 用 户 查 
看 时 知道 共享 资源 的 内 容 是 什么 。 

格式 如 下 : 


2 Tz07 | < 


(3) 共享 路 径 
共享 资源 的 原始 完整 路 径 可 以 使 用 path 字段 进行 发 布 ,务必 正确 指定 。 
格式 如 下 : 


(4) 设置 匿名 访问 
设置 是 否 允 许 对 共享 资源 进行 匿名 访问 ,可 以 更 改 public 字段 。 
格式 如 下 : 


【 例 9-1】 samba 服务 器 中 有 个 目录 为 /share, 现 需要 发 布 该 目录 成 为 共享 目录 ,定义 共 
享 名 为 public。 要 求 : 允许 浏览 ,允许 只 读 、 允 许 匿名 访问 。 设 置 如 下 : 


(5) 设置 访问 用 户 

如 果 共 享 资源 存在 重要 数据 ,需要 对 访问 用 户 审 核 ,可 以 使 用 valid users 字段 进行 
置 。 

格式 如 下 : 


沪 


【 例 9-2】 Samba 服务 器 中 的 /share/tech 目录 存放 了 公司 技术 部 数据 ,只 允许 技术 部 
员工 和 经 理 访问 ,技术 部 组 为 tech, 经 理 账 号 为 manger。 设 置 如 下 : 


(6) 设置 目录 为 只 读 
共享 目录 如 果 限 制 用 户 的 读 写 操作 ,我 们 可 以 通过 read only 命令 实现 。 
格式 如 下 : 


> [a8 1 < 


(7) 设置 过 滤 主机 
注意 网 络 地 址 的 写法 。 
格式 如 下 : 


【 例 9-3〗 Samba 服务 器 公共 目录 /public 中 存放 大 量 的 共享 数据 ,为 保证 目录 安全 , 仅 
允许 192. 168. 10. 0 网 络 的 主机 访问 ,并 且 只 允许 读 取 , 禁 止 写 人 。 设 置 如 下 : 


(8) 设置 目录 为 可 写 

如 果 共 享 目录 允许 用 户 进 行 写 操作 ,可 以 使 用 writable 或 write list 两 个 字段 进行 
设置 。 

writable 格式 如 下 : 


write list 格式 如 下 : 


9.2.4 Samba 服务 的 日 志文 件 和 密码 文件 


1. Samba 服务 的 日 志文 件 
日 志文 件 对 于 Samba 非常 重要 , 它 存储 着 客户 端 访 问 Samba 服务 器 的 信息 ,以 及 
Samba 服务 器 的 错误 提示 信息 等 。Samba 服务 可 以 通过 分 析 日 志 帮 助 解决 客户 端 访 问 和 服 


> [20 |] 
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务 器 维护 等 问题 。 
在 /etc/samba/smb. conf 文件 中 ,log file 为 设置 Samba 日 志 的 字段 ,如 下 所 示 。 


1og file = /var/log/sanba/log.sm 


Samba 服务 的 日 志文 件 默 认 存放 在 /var/log/samba/ 中 ,其 中 Samba 会 为 每 个 连接 到 
Samba 服务 器 的 计算 机 分 别 建立 日 志文 件 。 使 用 ls -a /var/log/samba 命令 可 以 查看 日 志 
的 所 有 文件 。 

当 客户 端 通过 网 络 访问 Samba 服务 器 后 ,会 自动 添加 客户 端的 相关 日 志 。 所 以 ,Linux 
管理 员 可 以 根据 这 些 文件 来 查看 用 户 的 访问 情况 和 服务 器 的 运行 情况 。 另 外 , 当 Samba 服 
务 器 工作 异常 时 ,也 可 以 通过 /var/log/samba/ 下 的 日 志 进 行 分 析 。 


2. Samba 服务 密码 文件 

Samba 服务 器 发 布 共享 资源 后 ,客户 端 访问 Samba 服务 器 ,需要 提交 用 户 名 和 密码 进 
行 身份 验证 ,验证 合格 后 才 可 以 登录 。Samba 服务 为 了 实现 客户 身份 验证 功能 ,将 用 户 名 和 
密码 信息 存放 在 /etc/samba/smbpasswd 中 ,在 客户 端 访问 时 ,将 用 户 提交 的 资料 与 
smbpasswd 存放 的 信息 进行 比 对 ,如 果 相同 ,并 且 Samba 服务 器 其 他 安全 设置 允许 ,客户 端 
与 Samba 服务 器 连接 才能 成 功 。 

那 如 何 建 立 Samba 账号 呢 ? 首先 ,Samba 账号 并 不 能 直接 建立 ,需要 先 建 立 Linux 同 
名 的 系统 账号 。 例 如 ,如 果 要 建立 一 个 名 为 yy 的 Samba 账号 , 那 Linux 系统 中 必须 提前 存 
在 一 个 同名 的 yy 系统 账号 。 

Samba 中 添加 账号 的 命令 为 smbpasswd, 命 令 格式 如 下 : 


smbpasswd -a 用 户 名 


【 例 9-4】 在 Samba 服务 器 中 添加 Samba 账号 reading。 
(1) 建立 Linux 系统 账号 reading。 


[root@ serverl ~ ]# useradd reading 
[root@serverl ~ ]#passwd reading 


(2) 添加 reading 用 户 的 Samba 账号 。 
[root@ serverl ~ ]# mbpasswd -a reeding 


至 此 ,Samba 账号 添加 完毕 。 如 果 在 添加 Samba 账号 时 输入 完 两 次 密码 后 出 现 错误 信 
息 (Failed to modify password entry for user amy), 则 是 因为 Linux 系统 本 地 用 户 里 没有 
reading 这 个 用 户 ,在 Linux 系统 里 面 添加 一 个 就 可 以 了 。 


务必 要 注意 在 建立 Samba 账号 之 前 ,一 定 要 先 建立 一 个 与 Samba 账号 同名 
所 的 系统 账号 。 
是 示 
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经 过 上 面 的 设置 ,再 次 访问 Samba 共享 文件 时 就 可 以 使 用 reading 账号 访问 了 。 


9.3 user 服务 器 实例 解析 


在 CentOS 7 系统 中 ,Samba 服务 程序 默认 使 用 的 是 用 户口 令 认证 模式 (user)。 这 种 认 
证 模式 可 以 确保 仅 让 有 密码 且 受 信任 的 用 户 访问 共享 资源 ,而 且 验 证 过 程 也 很 简单 。 

【 例 9-5】 如 果 公 司 有 多 个 部 门 , 因 工 作 需 要 ,要 分 门 别 类 地 建立 相应 部 门 的 目录 ,要 求 
将 销售 部 的 资料 存放 在 Samba 服务 器 的 /companydata/sales/ 目 录 下 集中 管理 ,以 便 销售 人 
员 浏览 ,并且 该 目录 只 允许 销售 部 员工 访问 。 

需求 分 析 : 在 /companydata/sales/ 目 录 中 存放 有 销售 部 的 重要 数据 ,为 了 保证 其 他 部 
门 无 法 查看 其 内 容 ,我 们 需要 将 全 局 配置 中 security 设置 为 user 安全 级 别 , 这 样 就 启用 了 
Samba 服务 器 的 身份 验证 机 制 , 然 后 在 共享 目录 /companydata/sales 下 设置 valid users 字 
段 ,配置 只 允许 销售 部 员工 能 够 访问 这 个 共享 目录 。 

(1) 建立 共享 目录 ,并 在 其 下 建立 测试 文件 。 


[root@serverl ~ ]#mkdir /capenydata 
[root@serverl ~ ]#mkdir /campenydata/sales 
[root@serverl ~ ]#touch /capenydata/sales/test share.tar 


(2) 添加 销售 部 用 户 和 组 并 添加 相应 的 Samba 账号 。 
Oz 使 用 groupadd 命令 添加 sales 组 ,然后 执行 useradd 命令 和 passwd 命令 来 添加 销售 
部 员工 的 账号 及 密码 。 此 处 单独 增加 一 个 test_userl 账号 ,不 属于 sales 组 , 供 测试 用 。 


[root@serverl ~ ]# groupedd sales # 建 立 销售 组 sales 
[root@serverl ~ ]# useracd - g sales salel # 建 立 用 户 salel, 添 加 到 sales 组 
[root@serverl ~ ]# useracd -g sales sale2 # 建 立 用 户 sale2, 添 加 到 sales 组 
[root@serverl ~ ]# Useracd test. userl # 供 测试 用 

[root@serverl ~ ]#passwd salel # 设 置 用 户 salel 密码 
[root@serverl ~ ]#passwd sale2 # 设 置 用 户 sale? 密 码 
[root@serverl ~ ]#passwd test_Userl # 设 置 用 户 test_userl 密码 


@ 接 下 来 为 销售 部 成 员 添 加 相应 的 Samba 账号 。 


[root@serverl ~ ]# mbpasswd ~a salel 
[root@serverl ~ ]# mbpasswd -a sale2 


(3) 修改 Samba 主 配置 文件 /etc/samba/smb. conf。 


security =user # 设 置 user 安 全 级 别 模式 ,为 默认 值 
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(4) 设置 共享 目录 的 本 地 系统 权限 。 


(5) 更 改 共享 目录 的 context 值 ,或 者 禁用 SELinux。 


(6) 让 防火 墙 放 行 ,这 一 步 很 重要 。 


masquerade: no 

forward- Ports: 

Source Ports: 

iomp- blocks: 

ridh rules: 
(7) 重新 加 载 Samba 服务 。 
[root@serverl ~ ]# Systemctl restart snb 
或 者 
[root@ serverl ~ ]# systemctl] reload sb 


(8) 测试 。 
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一 是 在 Windows 7 中 利用 资源 管理 器 进行 测试 ;二 是 利用 Linux 客户 端 。 


@ Samba 服务 器 在 将 本 地 文件 系统 共享 给 Samba 客户 端 时 ,涉及 本 地 文件 
系统 权限 和 Samba 共享 权限 。 当 客户 端 访问 共享 资源 时 ,最 终 的 权限 取 这 两 种 


提 示 ， 权限 中 最 严格 的 。 


@ 后 面 的 实例 中 不 再 单独 设置 本 地 权限 。 


9.4 配置 Samba 客户 端 


1，Windows 客户 端 访问 Samba 共享 


无 论 Samba 共享 服务 是 部 署 在 Windows 系统 上 还 是 部 署 在 Linux 系统 上 ,通过 
Windows 系统 进行 访问 时 ,其 步 又 和 方法 都 是 一 样 的 。 下 面 假 设 Samba 共享 服务 部 署 在 
Linux 系统 上 ,并 通过 Windows 系统 来 访问 Samba 服务 。Samba 共享 服务 器 和 Windows 


客户 端的 IP 地 址 可 以 根据 表 9-2 来 设置 。 


表 9-2 Samba 共享 服务 器 和 Windows 客户 端 使 用 的 操作 系统 以 及 IP 地 址 


主机 名 称 操作 系统 IP 地 址 
Samba 共享 服务 器 : Serverl CentOS7 192. 168. 10.1 
Windows 客户 端 : Win7-1 Windows 7 192. 168. 10. 30 


(1) 依次 选择 “开始 ”一 “运行 "命令 ,使 用 UNC 路 径直 接 进行 访问 。 例 如 \\192. 168. 
10.1。 打 开 “Windows 安全 ”对 话 框 ,如 图 9-3 所 示 , 输 入 salel 或 sale2 及 其 密码 ,登录 后 可 


以 正常 访问 。 


试 一 试 : 注销 Windows 7 客户 端 ,使 用 test_user 用 户 和 密码 登录 会 出 现 什么 情况 ? 
(2) 映射 网 络 驱 动 器 访问 Samba 服务 器 共享 目录 。 双 击 打 开 “ 我 的 电脑 "图标, 再 依次 
选择 “工具 ”>“ 映 射 网 络 驱 动 器 ”命令 ,在 “映射 网 络 驱 动 器 "对话 框 中 选择 Z 驱动 器 ,并 输入 
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输入 网 络 密码 
输入 起 的 灾 码 来 注 接 到 192.168.10.1 


图 9-3 “Windows 安全 ”对 话 框 


tech 共享 目录 的 地 址 ,如 \\192. 168. 1. 30\sales, 单 击 “ 完 成 "按钮 ,在 接 下 来 的 对 话 框 中 输入 


可 以 访问 sales 共享 目录 的 Samba 账号 和 密码 。 


(3) 再 次 打开 "我 的 电脑 图标, 驱动 器 Z 就 是 共享 目录 sales, 这 样 就 可 以 很 方便 地 访问 了 。 


2. Linux 客户 端 访问 Samba 共享 


Samba 服务 程序 当然 还 可 以 实现 Linux 系统 之 间 的 文件 共享 。 请 各 位 读者 按照 表 9-3 
来 设置 Samba 服务 程序 所 在 主机 ( 即 Samba 共享 服务 器 ) 和 Linux 客户 端 使 用 的 IP 地 址 ， 
然后 在 客户 端 安装 Samba 服务 和 支持 文件 共享 服务 的 软件 包 (cifs-utils) 。 


表 9-3 Samba 共享 服务 器 和 Linux 客户 端 各 自 使 用 的 操作 系统 以 及 IP 地 址 


主机 名 称 操作 系统 IP 地 址 
Samba 共享 服务 器 : Serverl CentOS 7 操作 系统 192. 168. 10.1 
Linux 客户 端 : Clientl CentOS 7 操作 系统 192. 168. 10. 20 


(1) 在 clientl 上 安装 samba-client 和 cifs-utils 


[root@clientl ~ J#mkdir /iso 

[root@client] ~ ]#mount /dev/cdrom /iso 

mount: /dev/sr0 is write- protected, mounting read- only 
[root@clientl ~ ]#vim /etc/yum.repos.d/dvd.repo 
[root@clientl ~ ]#yum install senbe- client -Y 
[root@client] ~ ]#yum install cifs-utils -了 


(2) Linux 客户 端 使 用 smbclient 命令 访问 服务 器 


@ smbclient 可 以 列 出 目标 主机 共享 目录 列表 。smbclient 命令 格式 如 下 : 


snbclient - 工 目标 他 地 址 或 主机 名 -0 登录 用 户 名 s 密 码 


当 查 看 CentOS 7-1(192. 168. 10. 1) 主机 的 共享 目录 列表 时 ,提示 输入 密码 ,这 时 候 可 以 
不 输入 密码 ,而 直接 按 Enter 键 , 这 样 表示 匿名 登录 ,然后 就 会 显示 匿名 用 户 可 以 看 到 的 共 


享 目录 列表 。 
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若 想 使 用 Samba 账号 查看 Samba 服务 器 端 共 享 的 目录 ,可 以 加 上 -U 参数 ,后 面 跟 上 
“用 户 名 % 密 码 ”。 下 面 的 命令 显示 只 有 sale2 账号 (其 密码 为 123456) 才 有 权限 浏览 和 访问 
sales 的 共享 目录 。 


@ 还 可 以 使 用 smbclient 命令 行 共享 访问 模式 浏览 共享 的 资料 。 
smbclient 命令 行 共 享 访问 模式 的 命令 格式 如 下 : 


下 面 的 命令 运行 后 将 进入 交互 式 界面 (输入 *?” 号 可 以 查看 具体 的 命令 )。 


另外 ,smbclient 登录 Samba 服务 器 后 ,可 以 使 用 help 查询 所 支持 的 命令 。 
(3) Linux 客户 端 使 用 mount 命令 挂 载 共享 目录 
mount 命令 挂 载 共享 目录 的 格式 如 下 : 


下 面 的 命令 结果 为 挂 载 192. 168. 10. 1 主机 上 的 共享 目录 sales 到 /mnt/sambadata 目 
录 下 ,cifs 是 Samba 所 使 用 的 文件 系统 。 
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[root@client] ~ J#mkdir ~-p /nnt/senibadata 

[root@client] ~ ]#mount 一 上 cifs //192.168.10.1/sales /nt/senbadata/ -oO 
Usemame= salel 

Password for salel@//192.168.10.1/sales: 
/输入 salel 的 samba 用 户 密码 ,不 是 系统 用 户 密码 
[root@clientl ~ ]#0d fmt/senbecata 

[root@client] sanbadata]#1s 

testdir test, share.tar 


9.5 练习 题 

一 、 填空 题 

1. Samba 服务 功能 强大 ,使 用 协议 ,英文 全 称 是 。 

2. SMB 经 过 开发 ,可 以 直接 运行 于 TCP/IP 上 ,使 用 TCP 的 端口 。 

3. Samba 服务 是 由 两 个 进程 组 成 ,分 别 是 和 。 

4. Samba 服务 软件 包 中 包括 和 (不 要 求 版 
本 号 )。 

5. Samba 的 配置 文件 一 般 就 放 在 目录 中 , 主 配置 文件 名 为 

6. Samba 服务 器 有 s 和 5 种 安全 模式 ， 
默认 级 别 是 

二 、 选 择 题 


1. 用 Samba 共享 了 目录 ,但 是 在 Windows 网 络 邻 居中 却 看 不 到 它 , 应 该 在 /etc/ 
Samba/smb. conf 中 怎样 设置 才能 正确 工作 ? ( ) 


A. AllowWindowsClients 一 yes B. Hidden=no 

C. Browseable=yes D. 以 上 都 不 是 
2. 能 用 来 卸载 Samba-3. 0. 33-3. 7. el5. i386. rpm 的 命令 是 ( % 

A. rpm -D Samba-3. 0. 33-3. 7. el5 B. rpm -i Samba-3. 0. 33-3. 7. el5 

C. rpm -e Samba-3. 0. 33-3.7. el5 D. rpm -d Samba-3. 0. 33-3. 7. el5 
3. 允许 198. 168. 0. 0/24 访问 Samba 服务 器 的 命令 是 (。 ”)。 

A. hosts enable = 198. 168.0. B. hosts allow = 198. 168. 0. 

C. hosts accept = 198. 168. 0. D. hosts accept 一 198. 168. 0. 0/24 
4. 启动 Samba 服务 ,必须 运行 的 端口 监控 程序 是 ( )。 

A. nmbd B. lmbd C. mmbd D. smbd 
5. 下 面 所 列 出 的 服务 器 类 型 中 ( ) 可 以 使 用 户 在 异 构 网 络 操作 系统 之 间 进 行文 件 

系统 共享 。 

A. PIP B. Samba C. DHCP D. Squid 
6. Samba 服务 密码 文件 是 ( )s 

A. smb. conf B. Samba. conf C. smbpasswd D. smbclient 
7. 利用 ( ) 命 令 可 以 对 Samba 的 配置 文件 进行 语法 测试 。 

A. smbclient B. smbpasswd C. testparm D. smbmount 
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8. 可 以 通过 设置 条 目 ( ) 来 控制 访问 Samba 共享 服务 器 的 合法 主机 名 。 


A. allow hosts B. valid hosts C. allow D. publics 
9. Samba 的 主 配 置 文件 中 不 包括 ( 和 

A. global 参数 B. directory shares 部 分 

C. printers shares 部 分 D. applications shares 部 分 
三 、 简 答题 


1. 简 述 Samba 服务 器 的 应 用 环境 。 
2. 简 述 Samba 的 工作 流程 。 
3. 简 述 基本 的 Samba 服务 器 搭建 流程 的 4 个 主要 步骤 。 


9.6 项 目 实录 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 背 景 

某 公 司 有 system、develop、productdesign 和 test 4 个 小 组 ,个 人 办 公 机 操作 系统 为 
Windows 7/8, 少 数 开 发 人 员 采 用 Linux 操作 系统 ,服务 器 操作 系统 为 CentOS 7, 需 要 设计 
一 套 建立 在 CentOS 7 之 上 的 安全 文件 共享 方案 。 每 个 用 户 都 有 自己 的 网 络 磁盘 ,develop 
组 到 test 组 有 共用 的 网 络 硬盘 ,所 有 用 户 ( 包 括 匿 名 用 户 ) 有 一 个 只 读 共享 资料 库 ; 所 有 用 户 
(包括 匿名 用 户 ) 要 有 一 个 存放 临时 文件 的 文件 夹 。 网 络 拓扑 如 图 9-4 所 示 。 


system 组 develop 组 productdesign 组 test 组 


Samba 服 务 器 1 2 ce N-1 N 
Samba 客 户 端 


9-4 ”Samba 服务 器 搭建 网 络 拓扑 


3. 项 目 相关 内 容 

(1) system 组 : 具有 管理 所 有 Samba 空间 的 权限 。 

(2) 各 部 门 的 私有 空间 : 各 小 组 拥有 自己 的 空间 ,除了 小 组 成 员 及 system 组 有 权限 以 
外 ,其 他 用 户 不 可 访问 (包括 列表 、 读 和 写 )。 

(3) 资料 库 : 所 有 用 户 ( 包 括 匿 名 用 户 ) 都 具有 读 权限 而 不 具有 写 入 数据 的 权限 。 

(4) develop 组 与 test 组 的 共享 空间 : develop 组 与 test 组 之 外 的 用 户 不 能 访问 。 
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(5) 公共 临时 空间 : 让 所 有 用 户 可 以 读 取 、 写 入 、 删 除 。 

4. 深度 思考 

在 观看 视频 时 思考 以 下 几 个 问题 。 

(1) 用 mkdir 命令 建立 共享 目录 ,可 以 同时 建立 多 少 个 目录 ? 

(2) chown、chmod、setfacl 这 些 命令 如 何 才能 熟练 应 用 ? 

(3) 组 账户 、 用 户 账户 .Samba 账户 等 的 建立 过 程 是 怎样 的 ? 

(4) useradd 的 各 类 选项 ,如 -g、-G、-d、-s、-M 的 含义 分 别 是 什么 ? 

(5) 权限 700 和 755 的 含义 是 什么 ? 请 查找 相关 权限 表示 的 资料 ,也 可 以 参见 “文件 权 
限 管 理 ” 视 频 。 

(6) 注意 不 同 用 户 登录 后 权限 的 变化 。 

5. 做 一 做 

根据 项 目 实录 视频 进行 项 目的 实 训 ,检查 学 习 效果 。 


9.7 实 训 : Samba 服务 器 的 配置 


1. 实 训 目的 及 内 容 
(1) 掌握 Samba 服务 器 的 安装 .配置 与 调试 。 
(2) 掌握 利用 Samba 服务 实现 文件 共享 及 权限 设置 。 


2. 实 训练 习 
(1) Samba 默认 用 户 连 接 的 配置 
安装 Samba 软件 包 并 且 启 动 SMB 服务 。 使 用 以 下 的 命令 确定 Samba 是 在 正常 工作 。 


smbclient ~ L localhost -N 


利用 useradd 命令 添加 karl、joe、mary 和 jen 共 4 个 用 户 , 但 是 并 不 给 它们 设 定 密码 。 
这 些 用 户 仅 能 够 通过 Samba 服务 访问 服务 器 。 为 了 使 得 它们 在 shadow 中 不 含有 密 
码 , 这 些 用 户 的 Shell 应 该 设 定 为 /sbin/nologin。 
利用 smbpasswd 命令 为 上 述 4 个 用 户 添加 Samba 访问 密码 。 
利用 chmod 和 chown 命令 进行 本 地 文件 与 目录 的 权限 和 属 组 的 设 定 。 
利用 karl 和 mary 用 户 在 客户 端 登录 Samba 服务 器 ,并 试 着 上 传 文件 ,观察 效果 。 

(2) 组 目录 访问 权限 的 配置 

上 述 4 位 用 户 同时 在 同一 个 部 门 工作 并 且 需 要 一 个 位 置 来 存储 部 门 的 文件 ,这 就 需要 
将 4 个 用 户 添 加 到 同一 个 组 中 ,建立 一 个 目录 给 这 些 用 户 来 存储 各 自 的 内 容 , 并 且 配 置 
Samba 服务 器 来 共享 目录 。 

。 利用 groupadd 命令 添加 一 个 GID 为 30000 的 legal 组 ,并 且 使 用 usermod 命令 将 上 

面 的 4 个 用 户 加 到 组 中 去 。 

。 建立 一 个 目录 /home/depts/legal。 对 于 这 个 目录 设 定 权 限 , 使 得 legal 组 中 的 用 户 
可 以 在 这 个 目录 中 添加 、 删 除 文件 ,然而 其 他 的 人 不 可 以 。 设 定 SGID 和 粘 滞 位 ,使 
得 所 有 在 这 个 目录 中 建立 的 文件 都 拥有 legal 组 的 权限 ,并 且 组 中 其 他 的 人 不 能 够 
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删除 该 用 户 建立 的 文件 。 

在 /etc/samba/smb. conf 中 建立 一 个 名 为 “[legal]” 的 Samba 共享 ,只 有 legal 组 中 的 
用 户 才能 够 访问 该 共享 。 

利用 chmod 和 chown 命令 进行 本 地 文件 与 目录 的 权限 和 属 组 的 设 定 ,并 且 确 保 在 
“[legal]” 中 存放 的 新 建文 件 的 权限 为 0600 。 

。 重新 启动 SMB 服务 进行 测试 。 


3. 实 训 报告 
按 要 求 完成 实 训 报告 。 


第 10 章 
Apache 服务 需 配 置 


利用 Apache 服务 可 以 实现 在 Linux 系统 构建 Web 站 点 。 本 章 将 主要 介 
绍 Apache 服务 的 配置 方法 ,以 及 虚拟 主机 、 访 问 控制 等 的 实现 方法 。 


。 Apache 简介 。 

。 Apache 服务 的 安装 与 启动 。 
。 Apache 服务 的 主 配置 文件 。 
。 各 种 Apache 服务 器 的 配置 。 


。 配置 用 户 身份 验证 。 


10.1 认识 Web 服务 


由 于 能 够 提供 图 形 .声音 等 多 媒体 数据 ,再 加 上 交互 式 动 态 Web 语言 
的 广泛 普及 ,WWW(World Wide Web) 早 已 经 成 为 Internet 用 户 最 喜欢 的 
访问 方式 。 一 个 最 重要 的 标志 就 是 当前 的 绝 大 部 分 Internet 流量 都 是 由 
WWW 浏览 产生 的 。 

WWW 服务 是 解决 应 用 程序 之 间 相互 通信 的 一 项 技术 。 严 格 地 说 ， 
WWW 服务 是 描述 一 系列 操作 的 接口 , 它 使 用 标准 的 、 规 范 的 XML 描述 接口 。 这 一 描述 中 
包括 了 与 服务 进行 交互 所 需要 的 全 部 细节 ,包括 消息 格式 、 传 输 协议 和 服务 位 置 。 而 在 对 外 
的 接口 中 隐藏 了 服务 实现 的 细节 , 仅 提供 一 系列 可 执行 的 操作 ,这 些 操 作 独 立 于 软 、 硬 件 平 
台 和 编写 服务 所 用 的 编程 语言 。WWW 服务 既 可 单独 使 用 ,也 可 同 其 他 WWW 服务 一 起 使 
用 ,实现 复杂 的 商业 功能 。 


1. Web 服务 简介 

WWW 是 Internet 上 被 广泛 应 用 的 一 种 信息 服务 技术 。WWW 采用 的 是 客户 /服务 器 
结构 ,整理 和 储存 各 种 WWW 资源 ,并 响应 客户 端 软件 的 请 求 , 把 所 需 的 信息 资源 通过 浏览 
器 传送 给 用 户 。 

Web 服务 通常 可 以 分 为 两 种 : 静态 Web 服务 和 动态 Web 服务 。 
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2. HTTP 

HTTP(HyperText Transfer Protocol, 超 文本 传输 协议 ) 可 以 算得 上 是 互联 网 的 一 个 重 
要 组 成 部 分 , Apache IIS 服务 器 是 HTTP 协议 的 服务 器 端 软件 , Internet Explorer 和 
Firefox 则 是 HTTP 协议 的 客户 端 软件 。 

(1) 客户 端 访问 Web 服务 器 的 过 程 

一 般 客户 端 访问 Web 内 容 要 经 过 3 个 阶段 : 在 客户 端 和 Web 服务 器 间 建 立 连接 、 传 输 
相关 内 容 、 关 闭 连接 。 

QWeb 浏览 器 使 用 HTTP 命令 向 服务 器 发 出 Web 请 求 (一 般 是 使 用 GET 命令 要 求 
返回 一 个 页 面 ,但 也 有 POST 等 命令 ) 。 

@ 服务 器 接收 到 Web 页 面 的 请 求 后 ,就 发 送 一 个 应 答 并 在 客户 端 和 服务 器 之 间 建 立 连 
接 。 图 10-1 所 示 为 建立 连接 示意 图 。 

@ Web 服务 器 查找 客户 端 所 需 文档 ,车 Web 服务 器 查找 到 所 请 求 的 文档 ,就 会 将 所 请 
求 的 文档 传送 给 Web 浏览 器 。 若 该 文档 不 存在 , 则 服务 器 会 发 送 一 个 相应 的 错误 提示 文档 
给 客户 端 。 

@ Web 浏览 器 接收 到 文档 后 ,就 将 它 解释 并 显示 在 屏幕 上 。 图 10-2 所 示 为 传输 相关 
内 容 的 示意 图 。 


ST- 人 人 一 国 汪 服务 器 找到 文档 并 传 回 客户 端 
© 和 国 BS 科 六 纪 过 明代 旺 示 国 


客户 庙 服务 器 客户 服务 器 
图 10-1 Web 客户 端 和 服务 器 之 间 建 立 连 接 图 10-2 Web 客户 端 和 服务 器 之 间 进 行 数据 传输 


名 当 客 户 端 浏览 完成 后 ,就 断 开 与 服务 器 的 连接 。 图 10-3 所 示 为 关闭 连接 示意 图 。 


此 服务 器 与 客户 端 关闭 连接 明 
9 


客户 端 服务 器 
图 10-3 Web 客户 端 和 服务 器 之 间 关闭 连接 


(2) 端口 

HTTP 请 求 的 默认 端口 是 80, 但 是 也 可 以 配置 某 个 Web 服务 器 使 用 另外 一 个 端口 ( 比 
如 8080)。 这 就 能 让 同一 台 服 务 器 上 运行 多 台 Web 服务 器 ,每 台 服 务 器 监听 不 同 的 端口 。 
但 是 要 注意 ,访问 端口 是 80 的 服务 器 ,由 于 是 默认 设置 ,所 以 不 需要 写 明 端口 号 ,如 果 访 问 
的 一 个 服务 器 是 8080 端口 ,那么 端口 号 就 不 能 省 略 , 它 的 访问 方式 就 变 成 了 : 


http://waw.smile.com:8080/ 
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当 Apache 在 1995 年 年 初 开 发 的 时 候 , 它 是 由 当时 最 流行 的 HTTP 服务 器 


< NCSA HTTP 1. 3 的 代码 修改 而 成 的 ,因此 是 “一 个 修补 的 (a patchy)” 服 务 器 。 
小 资料 ”然而 在 服务 器 官方 网 站 的 FAQ 中 的 解释 是 :“*Apache” 这 个 名 字 是 为 了 纪念 名 


为 Apache( 印 地 语 ) 的 美洲 印第安 人 的 一 个 分 支 。 众 所 周知 ,他 们 拥有 高 超 的 作 
战 策略 和 无 穷 的 耐性 。” 


读者 如 果 有 兴趣 ,可 以 到 http://www. netcraft. com 去 查看 Apache 最 新 的 市 场 份额 占 


有 率 ,还 可 以 在 这 个 网 站 查询 某 个 站 点 使 用 的 服务 器 情况 。 


10. 


2 安装 .启动 与 停止 Apache 服务 


10.2.1 安装 Apache 相关 软件 


[root@serverl ~ ]#rFm -qhttpd 
[root@ serverl ~ J]#mkdir /iso 
[root@ serverl ~ ]#mount /dev/cdron /iso 


[root@serverl ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@serverl ~ ]#yum install httpd -Y 
[root@serverl ~ ]#yum install firefox -了 // 安 装 浏览 器 
[root@serverl ~ ]# IEm - qlgrep httpd // 检 查 安装 组 件 是 否 成 功 
国 一 般 情 况 下 ,firefox 默认 已 经 安装 ,需要 根据 情况 而 定 。 
注意 
10.2.2 让 防火 墙 放行 并 设置 SELinux 为 允许 


需要 注意 的 是 ,Red Hat Enterprise Linux 7 采用 了 SELinux 这 种 增强 的 安全 模式 ,在 


默认 的 配置 下 ,只 有 SSH 服务 可 以 通过 。 像 Apache 这 种 服务 ,在 安装 、 配 置 、 启 动 完毕 后 ， 
还 需要 为 它 放 行 才 可 以 。 


(1) 使 用 防火 墙 命令 放行 http 服务 。 


root@serverl ~ ]# firewall- cmd -- list-all 

root@serverl ~ ]# firewall- cmd -~ Permenent —— add- service= http 
Sucoess 

root@serverl ~ ]# firewall- cmd -— reload 

success 

root@serverl ~ ]#firewall- cmd -- list-all 

Public (active) 

target: default 

icmp- block inversion: no 

interfaces: ens33 


Scurces: 


(2) 更 改 当前 的 SELinux 值 , 后 面 可 以 跟 Enforcing、Permissive 或 者 1、0。 


10.2.3 测试 httpd 服务 是 否 安装 成 功 
安装 完 Apache 服务 器 后 ,启动 它 , 并 设置 开机 自动 加 载 Apache 服务 。 


如 果 看 到 如 图 10-4 所 示 的 提示 信息 , 则 表示 Apache 服务 器 已 安装 成 功 。 也 可 以 在 
Applications 菜单 中 直接 启动 firefox, 然 后 在 地 址 栏 输入 http://127. 0. 0.1, 测 试 是 否 成 功 
安装 。 


Apache HTTP Server Test Page powered by CentOS ~ MozillaFirefox  — 0 x 


图 10-4 Apache 服务 器 运行 正常 
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停止 重新 启动 、 启 动 Apache 服务 的 命令 如 下 : 


[root@ serverl ~ ]# systemctl] stop httpd 
[root@serverl ~ ]# systemctl start httpd 
[root@ serverl ~ ]# systemctl restart httpd 


10.3 认识 Apache 服务 器 的 配置 文件 


在 Linux 系统 中 配置 服务 ,其实 就 是 修改 服务 的 配置 文件 ,httpd 服务 程序 的 主要 配置 
文件 及 存放 位 置 如 表 10-1 所 示 。 


表 10-1 Linux 系统 中 的 配置 文件 及 存放 位 置 


配置 文件 的 名 称 存放 位 置 配置 文件 的 名 称 存放 位 置 

服务 目录 /etc/httpd 访问 日 志 /var/log/httpd/access_log 
主 配 置 文件 /etc/httpd/conf/httpd. conf 错误 日 志 /var/log/httpd/error_log 
网 站 数据 目录 /var/www/html 


Apache 服务 器 的 主 配 置 文件 是 httpd. conf, 该 文件 通常 存放 在 /etc/httpd/conf 目录 
下 。 文 件 看 起 来 很 复杂 ,其 实 很 多 是 注释 内 容 。 本 节 先 作 粗略 介绍 ,后 面 的 章节 将 给 出 实 
例 ,非常 容易 理解 。 

httpd. conf 文件 不 区 分 大 小 写 ,在 该 文件 中 以 *# ?开始 的 行为 注释 行 。 除 了 注释 和 空 
行 外 ,服务 器 把 其 他 的 行 认 为 是 完整 的 或 部 分 的 指令 。 指 令 又 分 为 类 似 于 Shell 的 命令 和 伪 
HTML 标记 。 指 令 的 语法 为 “配置 参数 名 称 ”参数 值 ”。 伪 HTML 标记 的 语法 格式 如 下 : 


在 httpd 服务 程序 的 主 配置 文件 中 存在 3 种 类 型 的 信息 : 注释 行 信息 、 全 局 配置 .区 域 
配置 。 在 httpd 服务 程序 主 配置 文件 中 ,最 为 常用 的 参数 如 表 10-2 所 示 。 


表 10-2 配置 httpd 服务 程序 时 最 常用 的 参数 以 及 用 途 描述 


参数 用 途 参 数 用 途 
ServerRoot 服务 目录 Directory 网 站 数据 目录 的 权限 
ServerAdmin 管理 员 邮箱 Listen 监听 的 人 P 地 址 与 端口 号 
User 运行 服务 的 用 户 DirectoryIndex 默认 的 索引 页 面 
Group 运行 服务 的 用 户 组 ErrorLog 错误 日 志文 件 
ServerName 网 站 服务 器 的 域名 CustomLog 访问 日 志文 件 
DocumentRoot | 文档 根 目 录 (网 站 数据 目录 ) Timeout 网 页 超时 时 间 ,默认 为 300s 
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从 表 10-2 中 可 知 ,DocumentRoot 参数 用 于 定义 网 站 数据 的 保存 路 径 , 其 参数 的 默认 值 
是 把 网 站 数据 存放 到 /var/www/html 目录 中 ;而 当前 网 站 普遍 的 首页 面 名 称 是 index. 
html, 因 此 可 以 向 /var/www/html 目录 中 写 入 一 个 文件 ,替换 掉 httpd 服务 程序 的 默认 首页 
面 ,该 操作 会 立即 生效 (在 本 机 上 测试 ) 。 


[root@ serverl ~ ]# echo "Welccme To MyWeb" > /var/www/btml/incex.html 
[root@serverl ~ ]# firefcx http://127.0.0.1 


程序 的 首页 面 内 容 已 经 发 生 了 改变 ,如 图 10-5 所 示 。 


| MonlaFirefor  - oa x | 


TestPagefort- x/ http//127.0.0.U x \+ 
过 @O1127001 cj» 三 


‘Welcome To MyWeb 


图 10-5 首页 面 内 容 已 发 生 改变 


如 果 没有 出 现 希 望 的 画面 ,而 是 仍 回 到 默认 页 面 , 那 一 定 是 SELinux 的 问 

题 。 请 在 终端 命令 行 运行 “setenforce 0 后 再 测试 。 详 细 解 决 方法 请 继续 阅读 

提 示 10.4 节 寻求 帮助 。 为 了 后 续 实 训 正常 进行 ,运行 “setenforce 1 命令 恢复 到 初始 
状态 。 


10.4 常规 设置 Apache 服务 器 实例 


1. 设置 文档 根 目 录 和 首页 文件 实例 

【 例 10-1】 默认 情况 下 ,网 站 的 文档 根 目录 保存 在 /var/www/html 中 ,如 果 想 把 保存 
网 站 文档 的 根 目录 修改 为 /home/www, 并 且 将 首页 文件 修改 为 myweb. html, 那 么 该 如 何 
操作 呢 ? 

(1) 分 析 

文档 根 目录 是 一 个 较为 重要 的 设置 ,一 般 来 说 ,网 站 上 的 内 容 都 保存 在 文档 根 目 录 中 。 
在 默认 情形 下 ,除了 记号 和 别名 将 改 指 他 处 以 外 ,所 有 的 请 求 都 从 这 里 开始 。 而 打开 网 站 时 
所 显示 的 页 面 即 为 该 网 站 的 首页 (主页 )。 首 页 的 文件 名 是 由 DirectoryIndex 字段 来 定义 
的 。 默 认 情 况 下 ,Apache 的 默认 首页 名 称 为 index. html。 当 然 也 可 以 根据 实际 情况 进行 
更 改 。 

(2) 解决 方案 

@ 在 Serverl 上 修改 文档 所 依据 的 目录 为 /home/www, 并 创建 首页 文件 myweb. html。 


[root@ serverl ~ ]#mkdir /hame/Wwww 
[root@ serverl ~ ]#echo "The Web s DocumentRoot Test " > /home/www/imyweb.hitml 


@ 在 Serverl 上 打开 httpd 服务 程序 的 主 配 置 文件 ,将 第 119 行 用 于 定义 网 站 数据 保存 
路 径 的 参数 DocumentRoot 修改 为 /home/www. 同 时 还 需要 将 第 124 行 用 于 定义 目录 权限 
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的 参数 Directory 后 面 的 路 径 也 修改 为 /home/www, 将 第 164 行 的 内 容 修 改 为 
DirectoryIndex myweb. html index. html。 配 置 文件 修改 完毕 后 即 可 保存 并 退出 。 


@ 让 防火 墙 放行 httpd 服务 ,重启 httpd 服务 。 


@ 在 Clientl 上 测试 (Serverl 和 Clientl 都 是 用 VMnetl 连接 ,保证 互相 可 以 通信 ) ,如 
图 10-6 所 示 。 


Forbidden 


You don't have permission to access /index.html 
on this server 


图 10-6 在 客户 端 测试 失败 


@ 故障 排除 。 为 什么 看 到 了 httpd 服务 程序 的 默认 首页 面 ? 按理 说 ,只 有 在 网 站 的 首 
页 面 文件 不 存在 或 者 用 户 权限 不 足 时 , 才 显 示 httpd 服务 程序 的 默认 首页 面 。 另 外 ,在 尝试 
访问 http://192. 168. 10. 1/myweb. html 页 面 时 ,竟然 发 现 页 面 中 显示 “Forbidden, You 
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don't have permission to access /index. html on this server. ”。 这 是 什么 原因 引起 的 呢 ? 答 
案 是 SELinux 的 问题 。 解 决 方法 是 在 服务 器 端 运行 setenforce 0, 设 置 SELinux 为 “允许 ”: 


2. 用 户 个 人 主页 实例 

现在 许多 网 站 (例如 www. 163. com) 都 允许 用 户 拥有 自己 的 主页 空间 ,而 用 户 可 以 很 容 
易 地 管理 自己 的 主页 空间 。Apache 可 以 实现 用 户 的 个 人 主页 。 客 户 端 在 浏览 器 中 浏览 个 
人 主页 的 URL 地 址 格式 一 般 为 : 


其 中 必 一 username" 是 利用 Linux 系统 中 的 Apache 服务 器 来 实现 的 , 它 是 Linux 系统 
的 合法 用 户 名 (该 用 户 必须 在 Linux 系统 中 存在 ) 。 

【 例 10-2】 在 他 地 址 为 192.168.10.1 的 Apache 服务 器 中 ,为 系统 中 的 long 用 户 设置 个 
人 主页 空间 。 该 用 户 的 家 目录 为 /home/long, 个 人 主页 空间 所 在 的 目录 为 public_html。 

实现 步骤 如 下 : 

(1) 修改 用 户 的 家 目录 权限 ,使 其 他 用 户 具 有 读 取 和 执行 的 权限 。 


(2) 创建 存放 用 户 个 人 主页 空间 的 目录 。 
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(3) 创建 个 人 主页 空间 的 默认 首页 文件 。 


[root@serverl ~ ]#0d /hame/long/public html 
[root@serverl public html]# echo "this is long s web.">> index.html 


(4) 在 httpd 服务 程序 中 默认 没有 开启 个 人 用 户 的 主页 功能 。 为 此 ,需要 编辑 配置 /etc/ 


httpd/conf. d/userdir. conf 文件 ,然后 在 第 17 行 的 UserDir disabled 参数 前 面 加 上 井 号 (#), 表 
示 让 httpd 服务 程序 开启 个 人 用 户主 页 功能 ;同时 再 把 第 24 行 的 UserDir public_html 参数 前 
面 的 井 号 (# ) 去 掉 (UserDir 参数 表示 网 站 数据 在 用 户 家 目录 中 的 保存 目录 名 称 , 即 public_ 
html 目录 )。 修 改 完 毕 后 保存 退出 (在 Vim 编辑 状态 记得 使 用 “: set nu”, 显 示 行 号 ) 。 


[root@ serverl ~ ]# vim /etc/httpd/conf.d/userdir.conf 
17 #UserDir disabled 


24 UserDir public html 


(5) SELinux 设置 为 允许 ,让 防火 墙 放行 httpd 服务 ,重启 httpd 服务 。 


[root@ serverl ~ ]# setenforce 0 

[root@ serverl ~ ]# firewall~ cmd -~ Permanent ~— add- service= http 
[root@serverl ~ ]# firewall- cmd -~ reload 

[root@serverl ~ ]# firewall~ cmd -- list-allt 

[root@ serverl ~ ]# systemct] restart httpd 


(6) 在 客户 端的 浏览 器 中 输入 http://192. 168. 10. 1/ 一 long ,看 到 的 个 人 空间 的 访问 效 


果 如 图 10-8 所 示 。 


Mozilla Firefox = 


http//1.- Vvlong) x http://1- Vvlong/ x \+ 
€) © |192.168.10.1/-long/ c|» 三 


this is long's web. 


图 10-8 用 户 个 人 空间 的 访问 效果 
思考 : 如 果 运 行 以 下 命令 再 在 客户 端 测试 ,结果 又 会 如 何 呢 ? 试 一 试 并 思考 原因 。 


[root@serverl ~ ]# setenforce 1 
[root@ serverl ~ ]# setsebool - P httpd enable homedirs= cn 


3. 虚拟 目录 实例 
要 从 Web 站 点 主 目录 以 外 的 其 他 目录 发 布 站 点 ,可 以 使 用 虚拟 目录 实现 。 虚 拟 目录 是 


一 个 位 于 Apache 服务 器 主 目录 之 外 的 目录 , 它 不 包含 在 Apache 服务 器 的 主 目录 中 ,但 在 
访问 Web 站 点 的 用 户 看 来 , 它 与 位 于 主 目录 中 的 子 目录 是 一 样 的 。 每 一 个 虚拟 目录 都 有 一 
个 别名 ,客户 端 可 以 通过 此 别名 来 访问 虚拟 目录 。 
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由 于 每 个 虚拟 目录 都 可 以 分 别 设置 不 同 的 访问 权限 .因此 非常 适合 于 不 同 用 户 对 不 同 
目录 拥有 不 同 权限 的 情况 。 另 外 ,只 有 知道 虚拟 目录 名 的 用 户 才 可 以 访问 此 虚拟 目录 , 除 此 
之 外 的 其 他 用 户 将 无 法 访问 此 虚拟 目录 。 

在 Apache 服务 器 的 主 配 置 文件 httpd. conf 中 ,通过 Alias 指令 设置 虚拟 目录 。 

【 例 10-3】 在 IP 地 址 为 192. 168. 10. 1 的 Apache 服务 器 中 创建 名 为 /test/ 的 虚拟 目 
录 , 它 对 应 的 物理 路 径 是 /virdir/ ,并 在 客户 端 测 试 。 

(1) 创建 物理 目录 /virdir/。 


[root@serverl ~ J#mkdir -p /virdir/ 
(2) 创建 虚拟 目录 中 的 默认 首页 文件 。 


[root@serverl ~ ]#0d /virdir/ 
[root@ serverl virdir]# echo "This is Virtual Directory sarple.">> index.html 


(3) 修改 默认 文件 的 权限 ,使 其 他 用 户 具 有 读 和 执行 权限 。 
[rooteserverl virdir]# chmod 705 index.html 

或 者 

[rooteserverl ~ ]# chmod 705 /virdir -R 


(4) 修改 /etc/httpd/conf/httpd. conf 文件 ,添加 下 面 的 语句 。 


(5) SELinux 设置 为 允许 ,让 防火 墙 放行 httpd 服务 ,重启 httpd 服务 。 


[root@serverl ~ ]# setenforce 0 

[root@ serverl ~ ]# firewal1- cmd -- Permanent —— acdd- service= http 
[root@ serverl ~ ]# firewall~ amd -~ reload 

[root@serverl ~ ]#firewall- and -- list-allt 

[root@ server] ~ ]# systemctl restart httpd 


(6) 在 客户 端 Clientl 的 浏览 器 中 输入 http://192. 168. 10. 1/test 后 ,看 到 的 虚拟 目录 
的 访问 效果 如 图 10-9 所 示 。 


Morilla Firefox op We 


hapV/192.168.10.l/tesu x \+ 


(€)j®Ol19216810Uest |c|» 三 


This is Virtual Directory sample。 


图 10-9 /test 虚拟 目录 的 访问 效果 
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10.5 ”其 他 常规 设置 


1. 根 目 录 设 置 

配置 文件 中 的 根 目 录 设 置 (ServerRoot) 字 段 用 来 设置 Apache 的 配置 文件 、 错 误 文 件 和 
日 志文 件 的 存放 目录 ,并 且 该 目录 是 整个 目录 树 的 根 节点 。 如 果 下 面 的 字段 设置 中 出 现 相 
对 路 径 ,那么 就 是 相对 于 这 个 路 径 的 。 默 认 情 况 下 的 根 路 径 为 /etc/httpd, 可 以 根据 需要 进 
行 修改 。 

【 例 10-4】 设置 根 目录 为 /usr/local/httpd。 


ServerRoot "/usr/local/httpd" 


2. 超时 设置 

Timeout 字段 用 于 接收 和 发 送 数据 时 的 超时 设置 。 默 认 的 时 间 单 位 是 秒 (s)。 如 果 超 
过 限定 的 时 间 后 ,客户 端 仍然 无 法 连接 上 服务 器 , 则 予以 断 线 处 理 。 默 认 时 间 为 120s。 可 以 
根据 环境 需要 予以 更 改 。 

【 例 10-5】 设置 超时 时 间 为 300s。 


Timeout 300 


3. 客户 端 连接 数 限制 

客户 端 连接 数 限制 就 是 指 在 某 一 时 刻 内 ,www 服务 器 允许 多 少 客户 端 同 时 进行 访问 。 
允许 同时 访问 的 最 大 数值 就 是 客户 端 连接 数 限 制 。 

(1) 为 什么 要 设置 连接 数 限制 ? 

讲 到 这 里 不 难 提出 这 样 的 疑问 ,网 站 本 来 就 是 提供 给 别人 访问 的 ,何必 要 限制 访问 数 
量 , 将 人 拒 之 门 外 呢 ? 如 果 搭 建 的 网 站 为 一 个 小 型 的 网 站 ,访问 量 较 小 , 则 对 服务 器 响应 速 
度 没 有 影响 ,不 过 如 果 网 站 访问 用 户 突然 过 多 ,一 时 间 单 击 率 猛 增 , 一 旦 超过 某 一 数值 ,很 可 
能 导致 服务 器 瘫痪 。 而 且 就 算是 门户 级 网 站 ,例如 百度 新浪、 搜狐 等 大 型 网 站 ,它们 所 使 用 
的 服务 器 硬件 实力 相当 雄厚 ,可 以 承受 同一 时 刻 成 千 甚 至 上 万 的 点 击 量 , 但 是 ,硬件 资源 还 
是 有 限 的 ,如 果 遇 到 大 规模 的 DDoS( 分 布 式 拒绝 服务 攻击 ) ,仍然 可 能 导致 服务 器 过 载 而 瘫 
痪 。 作 为 企业 内 部 的 网 络 管理 者 应 该 尽量 避免 类 似 的 情况 发 生 , 所 以 限制 客户 端 连接 数 是 
非常 有 必要 的 。 

(2) 实现 客户 端 连 接 数 限制 。 

在 配置 文件 中 ,MaxClients 字段 用 于 设置 同一 时 刻 内 最 大 的 客户 端 访问 数量 ,默认 数值 
是 256。 对 于 小 型 的 网 站 来 说 已 经 够 用 了 。 如 果 是 大 型 网 站 ,可 以 根据 实际 情况 进行 修改 。 

【 例 10-6】 设置 客户 端 连接 数 为 500。 


< IfMpdale prefork.c> 
StartServers 8 
MinSpareServers Lb 
MaxSpareServers 20 
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ServerLimit 500 
MaxClients 500 
MaxRequestSPerChild 4000 

</ITRPadnle> 


浊 | MaxClients 字段 出 现 的 频率 可 能 不 止 一 次 ,请 注意 这 里 的 MaxClients 是 包 
含 在 二 HfModule prefork. c 二 二 /IIModule> 这 个 容器 当中 的 。 


注 意 


4. 设置 管理 员 邮 件 地 址 

当 客 户 端 访问 服务 器 发 生 错误 时 ,服务 器 通常 会 将 带 有 错误 提示 信息 的 网 页 反馈 给 客 
户 端 ,并 且 上 面包 含 管理 员 的 E-mail 地 址 ,以 便于 解决 出 现 的 错误 。 

如 果 需 要 设置 管理 员 的 E-mail 地 址 ,可 以 使 用 ServerAdmin 字段 来 设置 。 

【 例 10-7】〗 设置 管理 员 的 E-mail 地 址 为 root@smile. com 。 


ServerAdmin roote smile.ccm 


5. 设置 主机 名 称 

ServerName 字段 定义 了 服务 器 名 称 和 端口 号 ,用 以 标明 自己 的 身份 。 如 果 没 有 注册 
DNS 名 称 ,可 以 输入 IP 地 址 。 当 然 ,可 以 在 任何 情况 下 输入 IP 地 址 ,这 也 可 以 完成 重 定向 
开 作 。 

【 例 10-8〗 设置 服务 器 主机 名 称 及 端口 号 。 


ServerName www.examrple.ccm:80 


正确 使 用 ServerName 字段 设置 服务 器 的 主机 名 称 或 IP 地 址 后 ,在 启动 服 
| 询 务 器 时 则 不 会 出 现 “Could not reliably determine the server's fully qualified 
domain name,using 127. 0. 0. 1 for ServerName” 的 错误 提示 。 

6. 网 页 编码 的 设置 

由 于 地 域 的 不 同 ,中 国 和 外 国 , 或 者 说 亚洲 地 区 和 欧美 地 区 所 采用 的 网 页 编码 也 不 同 ， 
如 果 出 现 服务 器 端的 网 页 编码 和 客户 端的 网 页 编码 不 一 致 ,就 会 导致 乱码 的 出 现 ,这 和 各 国 
人 民 所 使 用 的 母语 不 同 的 道理 是 一 样 的 ,这 样 会 带 来 交流 的 障碍 。 如 果 想 正常 显示 网 页 的 
内 容 , 则 必须 使 用 正确 的 编码 。 

httpd. conf 中 使 用 AddDefaultCharset 字段 来 设置 服务 器 的 默认 编码 。 在 默认 情况 下 
服务 器 编码 采用 UTF-8。 而 汉字 的 编码 一 般 是 GB 2312 ,国家 强制 标准 是 GB 18030。 具 体 
使 用 哪 种 编码 要 根据 网 页 文件 里 的 编码 来 决定 ,只 要 保持 与 这 些 文件 所 采用 的 编码 一 致 就 
可 以 正常 显示 。 

【 例 10-9】 设置 服务 器 默认 编码 为 GB 2312。 
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PodDefaultCharset GB 2312 
掉 , 表 示 不 使 用 任何 编码 ,这 样 让 浏览 器 自动 去 检测 当前 网 页 所 采用 的 编码 是 什 


么 ,然后 自动 进行 调整 。 对 于 多 语言 的 网 站 搭建 ,最 好 采用 注释 掉 
AddDefaultCharset 字段 的 方法 。 


2 车 已 经 知道 该 使 用 哪 种 编码 , 则 可 以 把 AddDefaultCharset 字段 的 注释 去 


7. 目录 设置 

目录 设置 就 是 为 服务 器 上 的 某 个 目录 设置 权限 。 在 访问 某 个 网 站 的 时 候 ,通常 真正 所 
访问 的 仅仅 是 那 台 Web 服务 器 里 某 个 目录 下 的 某 个 网 页 文件 而 已 。 而 整个 网 站 也 是 由 这 
些 林林总总 的 目录 和 文件 组 成 。 作 为 网 站 的 管理 人 员 ,可 能 经 常 需要 对 某 个 目录 做 出 设置 ， 
而 不 是 对 整个 网 站 做 出 设置 。 例 如 ,拒绝 192. 168. 0. 100 的 客户 端 访问 某 个 目录 内 的 文件 ， 
这 时 可 以 使 用 二 Directory 二 二 /Directory 过 容器 来 设置 。 这 是 一 对 容器 语句 ,需要 成 对 出 
现 。 在 每 个 容器 中 有 options、AllowOverride、Limit 等 指令 ,它们 都 是 和 访问 控制 相关 的 。 
各 参数 如 表 10-3 所 示 。 


表 10-3 Apache 目录 访问 控制 选项 


访问 控制 选项 描 述 

Options 设置 特定 目录 中 的 服务 器 特性 

AllowOverride 设置 如 何 使 用 访问 控制 文件 . htaccess 

Order 设置 Apache 默认 的 访问 权限 及 Allow 和 Deny 语句 的 处 理 顺 序 

Allow 设置 允许 访问 Apache 服务 器 的 主机 。 可 以 是 主机 名 ,也 可 以 是 IP 地 址 
Deny 设置 拒绝 访问 Apache 服务 器 的 主机 。 可 以 是 主机 名 ,也 可 以 是 IP 地 址 


(1) 根 目录 默认 设置 。 


<Directory/> 
Options FollowSymLinks O 
Allowoverride None 四 
< /Directory> 


以 上 代码 中 间 的 2 行 说 明 如 下 。 
Q@ Options 字段 用 来 定义 目录 使 用 哪些 特性 ,后 面 的 FollowSymLinks 指令 表示 可 以 在 
该 目录 中 使 用 符号 链接 。Options 还 可 以 设置 很 多 功能 ,常见 功能 如 表 10-4 所 示 。 


表 10-4 ”Options 选项 的 取 值 


可 用 选项 取 值 描 述 
ee 允许 目录 浏览 。 当 访问 的 目录 中 没有 DirectoryIndex 参数 指定 的 网 页 文件 
时 ,会 列 出 目录 中 的 目录 清单 
Multiviews 允许 内 容 协 商 的 多 重视 图 
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续 表 
可 用 选项 取 值 描 述 

All 支持 除 Multiviews 以 外 的 所 有 选项 。 如 果 没 有 Options 语句 ,默认 为 All 
ExecCGI 允许 在 该 目录 下 执行 CGI 脚本 
FollowSysmLinks 可 以 在 该 目录 中 使 用 符号 链接 ,以 访问 其 他 目录 
Includes 允许 服务 器 端 使 用 SSI( 服 务 器 包含 ) 技 术 
IncludesNoExec 允许 服务 器 端 使 用 SSI( 服 务 器 包含 ) 技 术 ,但 禁止 执行 CGI 脚本 
SymLinksIfOwnerMatch | 目录 文件 与 目录 属于 同一 用 户 时 支持 符号 链接 


@ AllowOverride 用 于 设置 . htaccess 文件 中 的 指令 类 型 。None 表示 禁止 使 用 


.htaccess。 


不 使 用 这 两 个 符号 ,那么 在 容器 中 的 Options 选项 的 取 值 将 完全 履 盖 以 前 的 
注 意 ”Options 指令 的 取 值 。 


i 可 以 使 用 “十 ”或 “一 ”号 在 Options 选项 中 添加 或 取消 某 个 选项 的 值 。 如 果 


(2) 文档 目录 的 默认 设置 。 


<Directory "/var/ww/html"> 
Options Indexes FollowSymLinks 


? 
t 
和 


以 上 代码 中 带 有 序号 的 3 行 说 明 如 下 : 

Q@ AllowOverride 所 使 用 的 指令 组 此 处 不 使 用 认证 。 

@ 设置 默认 的 访问 权限 与 Allow 和 Deny 字段 的 处 理 顺 序 。 

@ Allow 字段 用 来 设置 哪些 客户 端 可 以 访问 服务 器 。 与 之 对 应 的 Deny 字段 则 用 来 限 
制 哪些 客户 端 不 能 访问 服务 器 。 


Allow 和 Deny 字段 的 处 理 顺 序 非常 重要 ,需要 详细 了 解 它们 的 意思 和 使 用 技巧 。 
(1) Order allow ,deny 
提 示 表示 默认 情况 下 禁止 所 有 客户 端 访 问 , 且 Allow 字段 在 Deny 字段 之 前 被 匹 

配 。 如 果 既 匹配 Allow 字段 又 匹配 Deny 字段 , 则 Deny 字段 最 终生 效 , 也 就 是 说 
Deny 字段 会 覆盖 Allow 字段 。 

(2) Order deny,allow 

表示 默认 情况 下 允许 所 有 客户 端 访 问 , 且 Deny 字段 在 Allow 字段 之 前 被 匹 
配 。 如 果 既 匹配 Allow 字段 又 匹配 Deny 字段 , 则 Allow 字段 最 终生 效 , 也 就 是 
说 Allow 字段 会 覆盖 Deny 字段 。 
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下 面 举 例 说 明 Allow 和 Deny 字段 的 用 法 。 
【 例 10-10】 人 允许 所 有 客户 端 访问 ( 先 允 许 后 拒绝 )。 


【 例 10-11】 拒绝 IP 地 址 为 192. 168. 100. 100 和 来 自 . bad. com 域 的 客户 端 访问 。 其 
他 客户 端 都 可 以 正常 访问 。 


【 例 10-12】 仅 允许 192. 168. 0. 0/24 网 段 的 客户 端 访问 ,但 其 中 192. 168. 0. 100 不 能 


为 了 说 明 允 许 和 拒绝 条 目的 使 用 ,请 对 照 下 面 的 两 个 例子 。 
【 例 10-13】 除了 www. test. com 的 主机 ,允许 其 他 所 有 人 访问 Apache 服务 器 。 


【 例 10-14】〗 只 允许 10.0.0.0/8 网 段 的 主机 访问 服务 器 。 
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10.6 配置 虚拟 主机 


虚拟 主机 是 在 一 台 Web 服务 器 上 可 以 为 多 个 独立 的 卫 地址、 域名 或 端口 号 提供 不 同 
的 Web 站点。 对 于 访问 量 不 大 的 站 点 来 说 ,这 样 做 可 以 降低 单个 站 点 的 运营 成 本 。 


10.6.1 配置 基于 IP 地址 的 虚拟 主机 


基于 IP 地 址 的 虚拟 主机 的 配置 需要 在 服务 器 上 绑 定 多 个 IP 地 址 ,然后 配置 Apache, 把 
多 个 网 站 绑 定 在 不 同 的 IP 地 址 上 ,访问 服务 器 上 不 同 的 IP 地 址 ,就 可 以 看 到 不 同 的 网 站 。 

【 例 10-1S〗 假设 Apache 服务 器 具有 192. 168. 10. 1 和 192. 168. 10. 2 两 个 IP 地 址 ( 提 
前 在 服务 器 中 配置 这 两 个 IP 地 址 ) 。 现 需要 利用 这 两 个 IP 地 址 分 别 创建 两 个 基于 IP 地 址 
的 虚拟 主机 ,要 求 不 同 的 虚拟 主机 对 应 的 主 目录 不 同 ,默认 文档 的 内 容 也 不 同 。 配 置 步骤 
如 下 。 

(1) 依次 选择 “应 用 程序 ”>“ 系 统 工具 ”一 “设置” 一 “网 络 ” 命 令 , 单 击 “ 设 置 ”按钮 ,打开 
如 图 10-10 所 示 的 “网 络 ” 对 话 框 。 


有 线 连 接 
@@ 通用 辅助 功能 已 连接 - 1000 Mb/ 秒 EL | 国 | 
六 在 线 帐号 
吏 隐私 2 - 
三 Not set up 
二 声音 
人 电源 ey 
设备 
日 详细 信息 和, 


图 10-10 “网 络 ? 对 话 框 


(2) 单 击 图 10-10 中 的 “齿轮 "图标, 在 弹出 的 有线” 对 话 框 中 单 击 IPv4, 打 开 如 图 10-11 所 
示 的 有线” 窗口 ,增加 第 二 个 IP 地 址 。 

(3) 单 击 “ 应 用 ”按钮 ,返回 图 10-10 所 示 的 界面 , 先 单 击 “ 关 闭 ” 按 钮 ,再 单 击 “ 打 开 ” 按 
钮 ,使 新 设置 的 IP 地 址 生效 。 


国 这 一 步 很 重要 ,必须 确认 IP 地 址 的 设置 是 否 正常 。 设 置 完成 后 最 好 使 用 
ping 命令 测试 是 否 设置 成 功 。 


注意 
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EE 二 
IPv4 Method 四 自动 (DHCP) 睛 仅 本 地 链 路 
图 手动 © Disable 
Addresses 
地 址 子 网 拓 码 网 关 
| 192.168.10.1 255.255.255.0 192.168.10.254 回 
[192.168.10.2 24 le 
| 9| 
| 192.168.10.1 ] 
Separate paddresses with commas 
路 由 自动 


图 10-11 设置 第 二 个 IP 地 址 
(4) 分 别 创 建 /var/www/ipl 和 /var/www/ip2 两 个 主 目录 和 默认 文件 。 


[root@ serverl~ ]#mkdir /var/www/ipl /var/www/ip2 
[root@ serverl ~ ]#echo "this is 192.168.10.1 s web."> /var/ww/ipl/index.html 
[root@ serverl ~ ]#echo "this is 192.168.10.2 s web."> /var/ww/iF2/index.html 


(5) 添加 /etc/httpd/conf. d/vhost. conf 文件 。 该 文件 的 内 容 如 下 : 


# 设 置 基 于 IP 地 址 为 192.168.10.1 的 虚拟 主机 
<Virtualhost 192.168.10.1> 

DocumentRoot /var/www/ipl 
< Nirtualhost> 


# 设 置 基于 IP 地 址 为 192.168.10.2 的 虚拟 主机 
<Virtualhost 192.168.10.2> 

DocumentRoot /var/waw/ip2 
< Nirtualhost> 


(6) SELinux 设置 为 “允许 ”, 让 防火 墙 放行 httpd 服务 ,重启 httpd 服务 。 

(7) 在 客户 端 浏览 器 中 可 以 看 到 http://192. 168. 10. 1 和 http://192. 168. 10. 2 两 个 
网 站 的 浏览 效果 ,如 图 10-12 所 示 。 

为 什么 看 到 了 httpd 服务 程序 的 默认 首页 面 ? 按理 说 只 有 在 网 站 的 首页 面 文 件 不 存在 
或 者 用 户 权 限 不 足 时 才 显 示 httpd 服务 程序 的 默认 首页 面 。 在 尝试 访问 http://192. 168. 
10.1/index. html 页 面 时 ,竟然 发 现 页 面 中 显示 “Forbidden, You don't have permission to 
access /index. html on this server. ”, 这 都 是 因为 主 配 置 文件 里 没有 设置 目录 权限 所 致 。 解 
决 方法 是 在 /etc/httpd/conf/httpd. conf 中 添加 有 关 两 个 网 站 目录 权限 的 内 容 ( 只 设置 /var/ 
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图 10-12 测试 时 出 现 默认 页 面 


www 目录 权限 也 可 以 ,设置 完成 后 记得 重启 httpd 服务 ) 。 


10.6.2 配置 基于 域名 的 虚拟 主机 


基于 域名 的 虚拟 主机 的 配置 只 须 服务 器 有 一 个 IP 地 址 即 可 ,所 有 的 虚拟 主机 共享 同一 
个 IP, 各 虚拟 主机 之 间 通 过 域名 进行 区 分 。 

要 建立 基于 域名 的 虚拟 主机 ,DNS 服务 器 中 应 建立 多 个 主机 资源 记录 ,使 它们 解析 到 
同一 个 IP 地 址 。 例 如 : 


【 例 10-16】 假设 Apache 服务 器 IP 地 址 为 192. 168. 10. 1。 在 本 地 DNS 服务 器 中 该 


STa7T< 
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IP 地 址 对 应 的 域名 分 别 为 wwwl. long. com 和 www2. long. com。 现 需要 创建 基于 域名 的 
虚拟 主机 ,要 求 不 同 的 虚拟 主机 对 应 的 主 目录 不 同 , 默 认 文档 的 内 容 也 不 同 。 配 置 步 又 
如 下 。 

(1) 分 别 创建 /var/www/smile 和 /var/www/long 两 个 主 目录 和 默认 文件 。 


[root@ serverl ~ J]#mkdir /var/www/Wwowl /var/waw/www2 
[root@ serverl ~ ]#echo "wwwl.long.om s web."> /ver/www/wwwl/index.html 
[root@ serverl ~ ]#echo "ww2.1cng.com s web."> /var/www/www2/index.himl 


(2) 修改 httpd. conf 文件 。 添 加 目录 权限 内 容 如 下 : 


(3) 修改 /etc/httpd/conf. d/vhost. conf 文件 。 该 文件 的 内 容 如 下 (清空 原来 的 内 容 ): 


<Virtualhost 192.168.10.1> 
DocumentRoot /var/www/wwwl 
ServerName wwwl.long.com 
< Nirtualhost> 


<Virtualhost 192.168.10.1> 


(4) SELinux 设置 为 “允许 ”, 让 防火 墙 放 行 httpd 服务 ,重启 httpd 服务 和 named 服务 。 


[root@ serverl ~ ]# setenforce 0 

[root@ serverl ~ ]# firewal1- cmd -- permenent —— add- service= http 
[root@ serverl ~ ]# firewall- cmd -~ reload 

[root@ serverl ~ ]# systemct] restart httpd 

[root@ serverl ~ ]# systemctl restart nemed 


(5) 在 客户 端 Clientl 上 测试 。 要 确保 DNS 服务 器 解析 正确 、 确 保 给 Clientl 设置 正确 
的 DNS 服务 器 地 址 (在 /etc/resolv. conf 中 设置 ) 。 


[rooteclientl ~ ]#vim /etc/resclv.conf 
[root@client] ~ ]# firefox wwwl.long.com 
[root@client] ~ ]# firefcx www2.1cng.ccm 


国 在 本 例 的 配置 中 ,DNS 的 正确 配置 至 关 重 要 ,一 定 要 确保 long.com 域名 及 


es 主机 的 正确 解析 ,否则 无 法 成 功 。 正 向 区 域 配 置 文件 如 下 : 
注 忆 
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思考 : 为 了 测试 方便 ,在 Clientl 上 直接 设置 /etc/hosts 的 内 容 ( 见 如 下 程序 ) ,可 否 代 替 
DNS 服务 器 ? 


10.6.3 基于 端口 号 的 虚拟 主机 的 配置 


基于 端口 号 的 虚拟 主机 的 配置 只 须 服 务 器 有 一 个 IP 地 址 即 可 ,所 有 的 虚拟 主机 共享 同 
一 个 耳 地 址 ,各 虚拟 主机 之 间 通 过 不 同 的 端口 号 进行 区 分 。 在 设置 基于 端口 号 的 虚拟 主机 
的 配置 时 ,需要 利用 Listen 语句 设置 所 监听 的 端口 。 

【 例 10-17】 假设 Apache 服务 器 的 IP 地 址 为 192. 168. 10. 1。 现 需要 创建 基于 8088 和 
8089 两 个 不 同 端口 号 的 虚拟 主机 ,要 求 不 同 的 虚拟 主机 对 应 的 主 目录 不 同 ,默认 文档 的 内 
容 也 不 同 。 则 配置 步 又 如 下 。 

(1) 分 别 创 建 /var/www/8088 和 /var/www/8089 两 个 主 目录 和 默认 文件 。 


(2) 修改 /etc/httpd/conf/httpd. conf 文件 。 该 文件 的 修改 内 容 如 下 : 
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(3) 修改 /etc/httpd/conf. d/vhost. conf 文件 。 该 文件 的 内 容 如 下 (清空 原来 的 内 容 ) : 


<Virtualhost 192.168.10.1:8088> 
DocumentRoot /var/www/30388 
< Nirtualhost> 


<Virtualhost 192.168.10.1:8089> 
DocumentRoot /var/www/8089 
< Nirtualhost> 


(4) 关闭 防火 墙 和 允许 的 SELinux, 重 启 httpd 服务 ,然后 在 客户 端 Clientl 上 测试 。 测 
试 结果 如 图 10-13 所 示 , 显 示 无 法 连接 。 


Problem loading page - Mozilla Firefox 国法 
/ Problem loading page x \+ 
(€) © szasalotaoss © Ma searcn |] 个 自 # 全 加 三 


Unable to connect 


Firefox can't establish a connection to the server at 192.168.10.1:8088. 
» The site could be temporarily unavailable or too busy. Try again in a few moments. 
» If you are unable to load any pages, check your computers network connection. 


® If your computer or network is protected by a firewall or proxy, make sure that Firefox is permitted to access the 
Web. 


图 10-13 访问 192. 168. 10. 1:8088 时 报错 


(5) 处 理 故 障 。 这 是 因为 防火 墙 检 测 到 8088 和 8089 端口 原本 不 属于 Apache 服务 应 
该 需要 的 资源 ,但 现在 却 以 httpd 服务 程序 的 名 义 监听 使 用 了 ,所 以 防火 墙 拒绝 Apache 服 
务 使 用 这 两 个 端口 。 可 以 使 用 firewall-cmd 命令 永久 添加 需要 的 端口 到 public 区 域 ,并 重 
启 防 火 墙 。 


[root@serverl ~ ]# firewall- and -- list-all 
Eublic (active) ... 
services: ssh dhcpv6- client sarba dns http 
Ports: 


[root@ serverl ~ ]# firewall- am -~ Permenent ~— zone= public -- add- port= 8088/tcp 
Success 

[root@ serverl ~ ]# firewall- cmd -~ permenent -- Zone= Public -- ad port= 8089/tcp 
[root@ serverl ~ ]# firewall- cmd -~ Permanent -- Zone= public -- addh port= 8088/tcp 
[root@ serverl ~ ]# firewall- cmd -~ reload 

[root@serverl ~ ]#firewall- and -- list-all 

Public (active) 


services: ssh dhopv6- client sanba dns http 
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Ports: 8089/tcp 8088/top 


(6) 再 次 在 Clientl 上 测试 ,结果 如 图 10-14 所 示 。 


Mozilla Firefox - Oo x 


| http://192.168.10.1:8089/ x \ 中 


Mozila Firefox - oO x 


http://192.168.10.1:8088/ x \++ 


€)Dl192.168.10.18089 |C|» 


8089 port's web. 


8088 port's web. 


图 10-14 不 同 端 口 虚拟 主机 的 测试 结果 


选择 “应 用 (Applications)”>“ 杂 项 (Sundry)” 一 “防火 墙 (Firewall)” 命 令 ， 


二 打开 防火 墙 配 置 窗口 ,可 以 详尽 地 配置 防火 墙 ,包括 配置 public 区 域 的 port( 端 
9 口 ) 等 。 


10.7 ”配置 用 户 身份 认证 

1. . htaccess 文件 的 控制 存 取 

什么 是 . htaccess 文件 呢 ? 简单 地 说 , 它 是 一 个 访问 控制 文件 ,用 来 配置 相应 目录 的 访 
问 方法 。 不 过 ,按照 默认 的 配置 是 不 会 读 取 相 应 目录 下 的 . htaccess 文件 来 进行 访问 控制 
的 ,这 是 因为 AllowOverride 中 的 配置 为 : 


Allowoverride ncne 
它 完全 忽略 了 . htaccess 文件 。 该 如 何 打开 它 呢 ? 很 简单 ,将 none 改 为 AuthConfig。 


现在 就 可 以 在 需要 进行 访问 控制 的 目录 下 创建 一 个 . htaccess 文件 了 。 需 要 注意 的 是 ， 
文件 前 有 一 个 “.”, 说 明 这 是 一 个 隐藏 文件 (该 文件 名 也 可 以 采用 其 他 的 文件 名 ,我 们 只 需要 


在 httpd. conf 中 进行 设置 就 可 以 了 )。 
另外 ,在 httpd. conf 的 相应 目录 中 的 AllowOverride 主要 用 于 控制 htaccess 中 允许 进 


行 的 设置 ,其 详细 参数 请 参考 表 10-5。 
表 10-5 ”AllowOverride 指令 所 使 用 的 指令 组 


指令 组 可 用 指令 说 明 
AuthConfig | AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, 进行 认证 ,授权 以 及 安全 
£ | AuthType, AuthUserFile, Require 的 相关 指令 
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续 表 
指令 组 可 用 指令 说 明 
Filelnfo DefaultType, ErrorDocument, ForceType, LanguagePriority, 控制 文件 处 理 方式 的 相 
0 SetHandler, SetInputFilter, SetOutputFilter 关 指 令 

AddDescription, AddIcon, AddIconByEncoding, DefaultIcon, 
Indexes AddIlconByType, DirectoryIndex, ReadmeName FancyIndexing, 2 录 列 表 方式 的 相 

HeaderName, IndexIgnore, IndexOptions 人 
Limit Allow,Deny,Order 人 的 相 
Options Options,XBitHack ee 文件 
All 全 部 指令 组 可 以 使 用 以 上 所 有 指令 
None 禁止 使 用 所 有 指令 禁止 处 理 . htaccess 文件 


假设 在 用 户 clinuxer 的 Web 目录 (public_html) 下 新 建 了 一 个 . htaccess 文件 ,该 文件 的 
绝对 路 径 为 /home/clinuxer/public_html/. htaccess。 其 实 Apache 服务 器 并 不 会 直接 读 取 
这 个 文件 ,而 是 从 根 目 录 下 开始 搜索 . htaccess 文件 。 


/htaccess 

/hame/ ,htaccess 
/hame/clirumer/.htacoess 
/home/clirumer/public html/ .htaccess 


如 果 这 个 路 径 中 有 一 个 . htaccess 文件 ,比如 /home/clinuxer/. htaccess, 则 Apache 并 不 
会 去 读 /home/clinuxer/public_html/. htaccess, 而 是 /home/clinuxer/. htaccess。 


2. 用 户 身 份 认证 

Apache 中 的 用 户 身份 认证 也 可 以 采取 “整体 存 取 控制 "方式 或 者 "分 布 式 存 取 控制 ” 方 
式 , 其 中 用 得 最 广泛 的 就 是 通过 . htaccess 来 进行 。 

(1) 创建 用 户 名 和 密码 

在 /usr/local/httpd/bin 目录 下 有 一 个 htpasswd 可 执行 文件 , 它 就 是 用 来 创建 . htaccess 
文件 身份 认证 所 使 用 的 密码 的 。 它 的 语法 格式 如 下 : 


[root@RHEL7- 1 ~ ]#htpasswd [- bcD] [-mdps] 密码 文件 名 字 ”用户 名 


参数 说 明 如 下 。 

。 -b: 用 批 处 理 方式 创建 用 户 。htpasswd 不 会 提示 输入 用 户 密 码 , 不 过 由 于 要 在 命令 
行 输入 可 见 的 密码 ,因此 并 不 是 很 安全 。 

。 -c: 新 创建 (create) 的 一 个 密码 文件 。 

。 -D: 删除 一 个 用 户 。 

。-m: 采用 MD5 编码 加 密 。 

。-d: 采用 CRYPT 编码 加 密 ,这 是 预 设 的 方式 。 

。 -p: 采用 明文 格式 的 密码 。 因 为 安全 的 原因 ,目前 不 推荐 使 用 。 


> Ta | < 
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。 -s: 采用 SHA 编码 加 密 。 
【 例 10-18】 创建 一 个 用 于 . htaccess 密码 认证 的 用 户 yyl。 


[root@RHEL7- 1 ~ ]# btpasswd — c -IE .htpasswd yyl Pssw0rd 


在 当前 目录 下 创建 一 个 . htpasswd 文件 ,并 添加 一 个 用 户 yyl ,密码 为 P@ssw0rd。 
(2) 实例 

【 例 10-19】 设置 一 个 虚拟 目录 “/httest”, 让 用 户 必须 输入 用 户 名 和 密码 才能 访问 。 
QO 创建 一 个 新 用 户 smile, 应 该 输入 以 下 命令 。 

[root@RHEL7- 1 ~ ]#mkdir /virdir/test 

[root@RHEL7- 1 ~ ]# echo "Require valid users s web."> /virdir/test/index.html 


[root@RHEL7- 1 ~ ]#0d /virdir/test 
[root@RHEL7- 1 test]# /usr/bin/htpasswd - c /usr/local/.htpasswd smile 


之 后 会 要 求 输入 该 用 户 的 密码 并 确认 ,成 功 后 会 提示 “Adding password for user 
smile”。 


如 果 还 要 在 . htpasswd 文件 中 添加 其 他 用 户 , 则 直接 使 用 以 下 命令 (不 带 参数 -c) 。 
[root@RHEL7- 1 test]# /usr/bin/htpasswd /usr/local/.htpasswd User2 


@ 在 httpd. conf 文件 中 设置 该 目录 允许 采用 .htaccess 进行 用 户 身份 认证 。 
加 入 内 容 如 下 (不 要 把 注释 写 到 配置 文件 中 ,下 同 ): 


Alias /httest "/virdir/test" 
< Directory "/virdir/test"> 

Opticns Indexes MnltiViews FollowSymLinks ”# 人 允许 列 目录 

Allowoverride AuthConfig # 启 用 用 户 身份 认证 

Order deny,allow 

Allow from all # 人 允许 所 有 用 户 访问 

AuthName Test Zone # 定 义 的 认证 名 称 ,与 后 面 的 .htpasswd 文件 中 的 一 致 
< /Directory> 


如 果 修 改 了 Apache 的 主 配 置 文件 httpd. conf, 则 必须 重启 Apache 才 会 使 新 配置 生效 。 
可 以 执行 systemctl restart httpd 命令 重新 启动 它 。 
@ 在 /virdir/test 目录 下 新 建 一 个 . htaccess 文件 ,内 容 如 下 : 


[root@RHEL7- 1 test]# cd /virdir/test 


[root@RHEL7- 1 test]# touch .htacoess # 创 建 .htaccess 文 件 
[root@RHEL7- 1 test]# vim .htacoess # 编 辑 .htacoess 文 件 并 加 入 以 下 内 容 
AuthNeme "Test Zone" 

AuthType Basic 

AuthUserFile /usr/local/ htpasswd # 指 明 存放 授权 访问 的 密码 文件 

Tequire valid user # 指 明 只 有 密码 文件 的 用 户 才 是 有 效用 户 
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国 如 果 . htpasswd 不 在 默认 的 搜索 路 径 中 , 则 应 该 在 AuthUserFile 中 指定 该 
文件 的 绝对 路 径 。 
@ 在 客户 端 打开 浏览 器 ,输入 http://192. 168. 10. 1/httest, 如 图 10-15 和 图 10-16 所 
示 。 在 Apache 服务 器 上 访问 权限 受 限 的 目录 时 ,就 会 出 现 认 证 窗口 ,只 有 输入 正确 的 用 户 
名 和 密码 才能 打开 。 


Authentication Required x 


2 hp/192168.10.1 is requesting your usermame and password. The site says: Test Zoner MorilaFirefox - oO x 
UserName [EE Wg x\+ 

passwort | ww €)Ol19216810Une |e|» 三 

er ok | Require valid_users's web. 
图 10-15 输入 用 户 名 和 密码 才能 访问 图 10-16 正确 输入 用 户 名 和 密码 后 
能 够 访问 受 限 内 容 
10.8 练习 题 

一 、 填空 题 

1. Web 服务 器 使 用 的 协议 是 ,英文 全 称 是 ,中 文 名 称 是 。 
2. HTTP 请 求 的 默认 端口 是 

3. 在 Linux 平 台 下 ,搭建 动态 网 站 的 组 合 ,采用 最 为 广泛 的 是 : 即 

以 及 4 个 开源 软件 构建 , 取 英 文 第 一 个 字母 的 缩写 命名 。 


4. Red Hat Enterprise Linux 7 采用 了 SELinux 这 种 增强 的 安全 模式 ,在 默认 的 配置 
下 ,只 有 服务 可 以 通过 。 


5. 在 命令 行 控制 台 窗 口 ,输入 命令 可 打开 Linux 网 络 配置 窗口 。 
二 、 选 择 题 
1. 可 以 用 于 配置 Red Hat Linux 启动 时 自动 启动 httpd 服务 的 命令 是 ( )。 
A. service B. ntsysv C. useradd D. startx 
2. 在 Red Hat Linux 中 手工 安装 Apache 服务 器 时 .默认 的 Web 站 点 的 目录 为 ( Ys 
A. /etc/httpd B. /var/www/html C. /etc/home D. /home/httpd 
3. 对 于 Apache 服务 器 ,提供 的 子 进程 的 默认 用 户 是 ( he 
A. root B. apached C. httpd D. nobody 
4. 世界 上 排名 第 一 的 Web 服务 器 是 ( Ws 
A. Apache B. IIS C. SunONE D. NCSA 
5. Apache 服务 器 默认 的 工作 方式 是 ( )。 
A. inetd B. xinetd C. standby D. standalone 
6. 用 户 的 主页 存放 的 目录 由 httpd. conf 文件 的 参数 ( 。” “”) 设 定 。 
A. UserDir B. Directory C. public_html D. DocumentRoot 
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7. 设置 Apache 服务 器 时 ,一 般 将 服务 的 端口 绑 定 到 系统 的 ( ) 端 口上 。 


A. 10000 B. 23 C. 80 D. 53 
8. 下 面 不 是 Apache 基于 主机 的 访问 控制 指令 的 是 ( }s 
A. allow B. deny C. order D. all 
9. 用 来 设 定 当 服务 器 产生 错误 时 ,显示 在 浏览 器 上 的 管理 员 的 E-mail 地 址 的 是 ( 加 
A. Servername B. ServerAdmin C. ServerRoot D. DocumentRoot 
10. 在 Apache 服务 器 上 基于 用 户 名 的 访问 控制 中 ,生成 用 户 密 码 文件 的 命令 是 ( i 
A. smbpasswd B. htpasswd C. passwd D. password 
10.9 项 目 实录 
1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观看 视频 。 


2. 项 目 背 景 

假如 你 是 某 学 校 的 网 络 管理 员 ,学 校 的 域名 为 www. king. com, 学 校 
计划 为 每 位 教师 开通 个 人 主页 服务 ,为 教师 与 学 生 之 间 建 立 沟通 的 平台 。 
该 学 校 网 络 拓扑 如 图 10-17 所 示 。 


Internet 


Web 服 务 器 配置 类 型 如 下 。 
(1) 基于 虚拟 目录 
(2) 基于 IP: 
192.168.1.2 
192.168.1.3 
(3) 基于 域名 : 


WWww.mix.com 


其 他 服务 器 。 代理 服务 器 Web 服 务 器 Www.king.com 
图 10-17 Web 服务 器 搭建 与 配置 网 络 拓扑 


学 校 计划 为 每 位 教师 开通 个 人 主页 服务 ,要 求实 现 以 下 功能 。 

(1) 网 页 文件 上 传 完 成 后 立即 自动 发 布 ,URL 为 http://www. king. com/ 一 用 户 名 。 

(2) 在 Web 服务 器 中 建立 一 个 名 为 private 的 虚拟 目录 ,其 对 应 的 物理 路 径 是 /data 
/private, 并 配置 Web 服务 器 对 该 虚拟 目录 启用 用 户 认证 ,只 允许 kingma 用 户 访 问 。 

(3) 在 Web 服务 器 中 建立 一 个 名 为 private 的 虚拟 目录 ,其 对 应 的 物理 路 径 是 /dirl 
/test, 并 配置 Web 服务 器 仅 允 许 来 自 网 络 jnrp. net 域 和 192. 168. 1. 0/24 网 段 的 客户 机 访 
问 该 虚拟 目录 。 

(4) 使 用 192. 168. 1.2 和 192. 168. 1. 3 两 个 了 P 地址 ,创建 基于 IP 地址 的 虚拟 主机 。 其 
中 IP 地 址 为 192. 168. 1. 2 的 虚拟 主机 对 应 的 主 目录 为 /var/www/ip2,IP 地 址 为 192. 168. 


图 ”Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


1.3 的 虚拟 主机 对 应 的 主 目录 为 /var/www/ip3。 

(5) 创建 基于 www. mlx. com 和 www. king. com 两 个 域名 的 虚拟 主机 ,域名 为 www. 
mlx. com 的 虚拟 主机 对 应 的 主 目录 为 /var/www/mlx, 域 名 为 www. king. com 的 虚拟 主机 
对 应 的 主 目录 为 /var/www/king。 


3. 深度 思考 

在 观看 视频 时 思考 以 下 几 个 问题 。 

(1) 使 用 虚拟 目录 的 好 处 是 什么 ? 

(2) 基于 域名 的 虚拟 主机 的 配置 要 注意 什么 ? 
(3) 如 何 启用 用 户 的 身份 认证 ? 


4. 做 一 做 
根据 项 目 要 求 及 视频 内 容 将 项 目 完 整地 做 一 遍 。 


10.10 实 训 : Apache 服务 器 的 配置 


1. 实 训 目的 及 内 容 
(1) 掌握 Apache 服务 器 的 配置 与 应 用 方法 。 
(2) 掌握 利用 Apache 服务 建立 普通 Web 站 点 、 基 于 主机 和 用 户 认证 的 访问 控制 。 


2. 实 训 练习 

(1) 建立 Web 服务 器 ,同时 建立 一 个 名 为 /mytest 的 虚拟 目录 ,并 完成 以 下 设置 。 
@ 设置 Apache 根 目 录 为 /etc/httpd。 

@ 设置 首页 名 称 为 test. html。 

@ 设置 超时 时 间 为 240s。 

@ 设置 客户 端 连接 数 为 500。 

@ 设置 管理 员 E-mail 地 址 为 root@smile. com。 

@ 虚拟 目录 对 应 的 实际 目录 为 /linux/apache。 

@ 将 虚拟 目录 设置 为 仅 允 许 192. 168. 10. 0/24 网 段 的 客户 端 访问 。 

@@ 分 别 测试 Web 服务 器 和 虚拟 目录 。 

(2) 在 文档 目录 中 建立 security 目录 ,并 完成 以 下 设置 。 

Q@ 对 该 目录 启用 用 户 认 证 功能 。 

G@ 仅 允 许 userl 和 user2 账号 访问 。 

@ 更 改 Apache 默认 监听 的 端口 ,将 其 设置 为 8080。 

@ 将 允许 Apache 服务 的 用 户 和 组 设置 为 nobody。 

@ 禁止 使 用 目录 浏览 功能 。 

(3) 建立 虚拟 主机 ,并 完成 以 下 设置 。 

@ 建立 下 地 址 为 192. 168. 0. 1 的 虚拟 主机 1, 对 应 的 文档 目录 为 /usr/local/ www/webl。 
@ 仅 允 许 来 自 . smile. com. 域 的 客户 端 可 以 访问 虚拟 主机 1。 

@ 建立 全 地 址 为 192. 168. 0. 2 的 虚拟 主机 2, 对 应 的 文档 目录 为 /usr/local/ www/ web2。 
@ 仅 允 许 来 自 . long. com. 域 的 客户 端 访问 虚拟 主机 2。 


3. 实 训 报 告 
按 要 求 完成 实 训 报告 。 
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FTP(File Transfer Protocol) 是 文件 传输 协议 的 缩写 , 它 是 Internet 最 早 提 
供 的 网 络 服务 功能 之 一 ,利用 FTP 服务 可 以 实现 文件 的 上 传 及 下 载 等 相关 的 
文件 传输 服务 。 本 章 将 介绍 Linux 下 vsftpd 服务 器 的 安装 、 配 置 及 使 用 方法 。 


。 FTP 服务 的 工作 原理 。 

。 vsftpd 服务 器 的 配置 。 
。 配置 本 地 模式 的 常规 FTP 服务器。 
。 配置 基于 虚拟 用 户 的 FTP 服务 器 。 


11.1 认识 FTP 服务 


以 HTTP 为 基础 的 WWW 服务 功能 虽然 强大 ,但 对 于 文件 传输 来 说 oF 
却 略 显 不 足 。 一 种 专门 用 于 文件 传输 的 FTP 服务 应 运 而 生 。 EF: 

FTP 服务 就 是 文件 传输 服务 ,FTP 的 全 称 是 File Transfer Protocol， 
顾名思义 ,就 是 文件 传输 协议 ,具备 更 强 的 文件 传输 可 靠 性 和 更 高 的 效率 。 盏 gd 


11.1.1 FTP 工作 原理 


FTP 大 大 简化 了 文件 传输 的 复杂 性 , 它 能 够 使 文件 通过 网 络 从 一 台 计算 机 传送 到 另外 
一 台 计 算 机 上 却 不 受 计 算 机 和 操作 系统 类 型 的 限制 。 无 论 是 PC、 服 务 器 ,大 型 机 ,还 是 iOS、 
Linux、Windows 操作 系统 ,只 要 双方 都 支持 协议 FTP, 就 可 以 方便 .可靠 地 进行 文件 的 传 
送 。FTP 服务 的 具体 工作 过 程 如 图 11-1 所 示 。 

(1) 客户 端 向 服务 器 发 出 连接 请 求 , 同 时 客户 端 系 统 动态 地 打开 一 个 大 于 1024 的 端口 
等 候 服务 器 连接 (比如 1031 端口 ) 。 

(2) 若 FTP 服务 器 在 端口 21 侦 听 到 该 请 求 , 则 会 在 客户 端 1031 端口 和 服务 器 的 21 端 
口 之 间 建 立 起 一 个 FTP 会 话 连接 。 

(3) 当 需 要 传输 数据 时 ,FTP 客户 端 再 动态 地 打开 一 个 大 于 1024 的 端口 (比如 1032 端 
口 ) 连 接 到 服务 器 的 20 端口 ,并 在 这 两 个 端口 之 间 进 行 数 据 的 传输 。 当 数据 传输 完毕 后 ,这 
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FTP 客户 端 FTP 服务 器 端 


端口 1031 端口 21 
客户 端 发 送 连接 请 求 


端口 1031 端口 2 
双方 建立 连接 


总 端口 1031 原来 建立 的 连接 端口 21 


端口 1032 开始 传输 数据 端口 | 


由 由 
A 


© 


全 


会 话 终止 ， 连 接 中 断 


一 


端口 1032 端口 20 
数据 传输 完毕 ， 连 接 保持 


© 


FTP 客户 端 FTP 服务 器 端 
图 11-1 FTP 服务 的 工作 过 程 


两 个 端口 会 自动 关闭 。 
(4) 当 FTP 客户 端 断 开 与 FTP 服务 器 的 连接 时 ,客户 端 上 动态 分 配 的 端口 将 自动 
释放 。 


11.1.2 匿名 用 户 


FTP 服务 不 同 于 WWW, 它 首先 要 求 登录 到 服务 器 上 ,然后 再 进行 文件 的 传输 ,这 对 于 
很 多 公开 提供 软件 下 载 的 服务 器 来 说 十 分 不 便 , 于 是 匿名 用 户 访问 就 诞生 了 。 通 过 使 用 一 
个 共同 的 用 户 名 anonymous、 密 码 不 限 的 管理 策略 (一 般 使 用 用 户 的 邮箱 作为 密码 即 可 ) ,让 
任何 用 户 都 可 以 很 方便 地 从 这 些 服务 器 上 下 载 软件 。 


11.2 安装、 启动 与 停止 vsftpd 服务 


1. 搭建 FTP 服务 器 的 网 络 环境 
3 台 安 装 好 RHEL 7.4 和 Windows 7 的 计算 机 联网 方式 都 设 为 host only(VMnetl) ,一 
台 作 为 服务 器 ,一 台 作 为 客户 端 使 用 。 宿 主机 是 Windows 7。 计 算 机 的 配置 信息 如 表 11-1 
所 示 ( 可 以 使 用 VM 的 克隆 技术 快速 安装 需要 的 Linux 客户 端 ) 。 
表 11-1 Linux 服务 器 和 客户 端的 配置 信息 
主机 名 称 操作 系统 IP 地 址 角色 及 其 他 
DHCP 服务 器 : Serverl CentOS 7 192. 168. 10. 1 FTP 服务 器 .虚拟 机 .连接 VMnetl 
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续 表 


主机 名 称 操作 系统 IP 地 址 角色 及 其 他 
Linux 客户 端 : Clientl CentOS 7 192. 168. 10. 20 FTP 客户 端 ,虚拟 机 .连接 VMnetl 
Windows 客户 端 : Win7-1 Windows 7 | 192. 168. 10. 30 FTP 客户 端 . 虚 拟 机 .连接 VMnetl 


2. 安装 vsftpd 服务 


[root@serverl ~ ]# IEm - q vsftpd 


[root@ serverl ~ ]#mkdir /iso 

[root@ serverl ~ ]#mount /dev/odrom /iso 

[root@serverl ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@serverl ~ ]# Yum install vsftpd -~-y 

[root@serverl ~ ]#yum install ftp-y // 同 时 安装 ftp 软 件 包 
[root@serverl ~ ]# rpm - qnl grep vsftpd // 检 查 安装 组 件 是 否 成 功 


3. vsftpd 服务 启动 及 重启 、 随 系统 启动 及 停止 

安装 完 vsftpd 服务 后 ,下 一 步 就 是 启动 了 。vsftpd 服务 可 以 以 独立 方式 或 被 动 方式 启 
动 。 在 Red Hat Enterprise Linux 7 中 ,默认 以 独立 方式 启动 。 

在 此 需要 提醒 各 位 读者 ,在 生产 环境 中 或 者 在 RHCSA、RHCE、RHCA 认证 考试 中 一 
定 要 把 配置 过 的 服务 程序 加 入 到 开机 启动 项 中 ,以 保证 服务 器 在 重启 后 依然 能 够 正常 提供 
传输 服务 。 

重新 启动 vsftpd 服务 、 随 系统 启动 .开放 防火 墙 、 开 放 SELinux 可 以 输入 下 面 的 命令 。 


[root@ serverl ~ ]# systemct] restart vsftpd 

[root@serverl ~ ]# systemct] enable vsftpd 

[root@serverl ~ ]# firewall- cmd -~ Permanent —— acdd- service= ftp 
[root@serverl ~ ]# firewall- cmd -~ reload 

[root@serverl ~ ]# setsebool - P ftpd full_ access= on 


11.3 认识 vsftpd 的 配置 文件 


vsftpd 的 配置 主要 通过 以 下 几 个 文件 来 完成 。 

1. 主 配 置 文 件 

vsftpd 服务 程序 的 主 配置 文件 (/etc/vsftpd/vsftpd. conf) 内 容 总 长 度 达 到 127 行 ,但 其 
中 大 多 数 参数 在 开头 都 添加 了 井 号 (并 ) ,从 而 成 为 注释 信息 ,读者 没有 必要 在 注释 信息 上 花 
费 太 多 的 时 间 。 可 以 使 用 grep 命令 添加 -v 参数 ,过 滤 并 反选 出 没有 包含 井 号 ( 划 ) 的 参数 行 
( 即 过 滤 掉 所 有 的 注释 信息 ) ,然后 将 过 滤 后 的 参数 行 通 过 输出 重 定向 符 写 回 原始 的 主 配置 
文件 中 (为 了 安全 ,请 先 备 份 主 配置 文件 ) 。 


[root@ serverl ~ ]#m /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf .bak 
[root@ serverl ~ ]#grep -Vv 中 " /etc/veftpd/veftpd.omf bak > /etc/veftpd/veftpd.omf 
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[root@serverl ~ ]# cat /etc/vsftpd/vsftpd.conf -n 
anonymous enable= YES 
local enable- YES 

write enable= YES 

local umaske= 022 
Gimessage enable= YES 
xferlog enable= YES 
Connect froam port 20=YES 
xferlog std format= YES 
listenr=NO 

listen ipv6- YES 


Pam service name= vsftpd 
Userlist enable= YES 
tcp wrappers= YES 


BBESBocoJ onwhr 


二 


表 11-2 中 列举 了 vsftpd 服务 程序 主 配置 文件 中 常用 的 参数 以 及 作用 。 在 后 续 的 实 训 
中 将 演示 重要 参数 的 用 法 ,以 帮助 大 家 熟悉 并 人 掌握 。 


表 11-2 vsftpd 服务 程序 常用 的 参数 以 及 作用 


参 数 作 用 
listen=[YES| NO]J 是 否 以 独立 运行 的 方式 监听 服务 
listen_address 二 IP 地 址 设置 要 监听 的 IP 地 址 
listen_port=21 设置 FTP 服务 的 监听 端口 
download_enable=[YES| NO]J 是 否 允许 下 载 文件 


userlist_enable 王 [YESINO] 


Py 
userlist_deny=[ YES| NO] 设置 用 户 列表 为 “允许 ”还 是 “禁止 "操作 


max_clients=0 最 大 客户 端 连 接 数 ,0 为 不 限制 
max_per_ip=0 同一 IP 地址 的 最 大 连接 数 ,0 为 不 限制 
anonymous_enable=[YES| NOJ 是 否 允许 匿名 用 户 访问 
anon_upload_enable=[YES| NO] 是 否 允 许 匿名 用 户 上 传 文件 
anon_umask 一 022 匿名 用 户 上 传 文件 的 umask 值 
anon_root 一 /var/ftp 匿名 用 户 的 FTP 根 目录 


anon_mkdir_write_enable 二 [LYES|NO] | 是 否 允 许 匿名 用 户 创建 目录 


Bt other write eble [YES 是 否 开放 匿名 用 户 的 其 他 写 入 权限 (包括 重 命名 、 删 除 等 操作 


权限 ) 
anon_max_rate 一 0 匿名 用 户 的 最 大 传输 速率 (B/s) ,0 为 不 限制 
local_enable 王 [YESINO] 是 否 允 许 本 地 用 户 登录 FTP 
local_umask 一 022 本 地 用 户 上 传 文件 的 umask 值 
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续 表 
参数 作 用 
local_root= /var/ftp 本 地 用 户 的 FTP 根 目录 
chroot_local_user=[YES| NO]J 是 否 将 用 户 权限 禁 铀 在 FTP 目录 ,以 确保 安全 
local_max_rate=0 本 地 用 户 最 大 传输 速率 (B/s) ,0 为 不 限制 


2. /etc/pam. d/vsftpd 

vsftpd 的 Pluggable Authentication Modules(PAM) 配 置 文件 ,主要 用 来 加 强 vsftpd 服 
务 器 的 用 户 认证 。 

3. /etc/vsftpd/ftpusers 

所 有 位 于 此 文件 内 的 用 户 都 不 能 访问 vsftpd 服务 。 当 然 , 为 了 安全 起 见 , 这 个 文件 中 默 
认 已 经 包括 了 root bin 和 daemon 等 系统 账号 。 


4. /etc/vsftpd/user_list 

这 个 文件 中 包括 的 用 户 有 可 能 是 被 拒绝 访问 vsftpd 服务 的 ,也 可 能 是 允许 访问 的 ,这 主 
要 取决 于 vsftpd 的 主 配置 文件 /etc/vsftpd/vsftpd. conf 中 的 userlist_deny 参数 是 设置 为 
YES( 默 认 值 ) 还 是 NO。 

。 当 userlist_deny 一 NO 时 , 仅 允 许 文 件 列表 中 的 用 户 访 问 FTP 服务 咒 。 

。 当 userlist_deny 王 YES 时 ,这 也 是 默认 值 , 拒 绝 文件 列表 中 的 用 户 访问 FTP 服务 器 。 


5. /var/ftp 文件 夹 
vsftpd 为 提供 服务 的 文件 集散 地 , 它 包括 一 个 pub 子 目 录 。 在 默认 配置 下 ,所 有 的 目录 
都 是 只 读 的 ,只 有 root 用 户 有 写 权 限 。 


11.4 ”配置 匿名 用 户 FTP 实例 


1. vsftpd 的 认证 模式 

vsftpd 允许 用 户 以 3 种 认证 模式 登录 到 FTP 服务 器 上 。 

。 匿名 开放 模式 : 这 是 一 种 最 不 安全 的 认证 模式 ,任何 人 都 可 以 无 须 密码 验证 而 直接 
登录 到 FTP 服务 器 。 

本 地 用 户 模式 : 这 是 通过 Linux 系统 本 地 的 账户 密码 信息 进行 认证 的 模式 , 相 较 于 
匿名 开放 模式 更 安全 ,而 且 配 置 起 来 也 很 简单 。 但 是 ,如 果 被 黑客 破解 了 账户 的 信 
息 , 就 可 以 畅通 无 阻 地 登录 FTP 服务 器 ,从 而 完全 控制 整 台 服务 器 。 

虚拟 用 户 模式 : 这 是 这 3 种 模式 中 最 安全 的 一 种 认证 模式 , 它 需 要 为 FTP 服务 单独 
建立 用 户 数 据 库 文件 ,虚拟 映射 用 来 进行 口令 验证 的 账户 信息 ,而 这 些 账户 信息 在 
服务 器 系统 中 实际 上 是 不 存在 的 , 仅 供 FTP 服务 程序 进行 认证 使 用 。 这 样 ,即使 黑 
客 破解 了 账户 信息 也 无 法 登录 服务 器 ,从 而 有 效 降低 了 破坏 范围 和 影响 。 


2. 匿名 用 户 登 录 的 参数 说 明 
表 11-3 列举 了 可 以 向 匿名 用 户 开放 的 权限 参数 以 及 作用 。 
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表 11-3 可 以 向 匿名 用 户 开放 的 权限 参数 以 及 作用 


参 数 


作 用 


anonymous_enable==YES 


允许 匿名 访问 模式 


anon_umask 一 022 


匿名 用 户 上 传 文件 的 umask 值 


anon_upload_enable= YES 


允许 匿名 用 户 上 传 文件 


anon_mkdir_write_enable=YES 


允许 匿名 用 户 创建 目录 


anon_other_write_enable= YES 


允许 匿名 用 户 修改 目录 名 称 或 删除 目录 


3. 配置 匿名 用 户 登录 FTP 服务 器 实例 

【 例 】 搭建 一 台 FTP 服务 器 ,允许 匿名 用 户 上 传 和 下 载 文件 ,匿名 用 户 的 根 目 录 设 置 
为 /var/ftp。 
(1) 新 建 测试 文件 ,编辑 /etc/vsftpd/vsftpd. conf。 


[root@ serverl ~ ]# touch /var/ftp/pub/senple.tar 
[root@serverl ~ ]# vim /etc/vsftpd/vsftpd.oonf 


(2) 在 文件 后 面 添加 以 下 4 行内 容 ( 语 句 前 后 一 定 不 要 带 空格 。 若 有 重复 的 语句 ,请 删 
除 或 直接 在 其 上 更 改 ) 。 


// 允 许 匿名 用 户 登录 

// 设 置 匿名 用 户 的 根 目录 为 /var/ftp 
// 允 许 匿名 用 户 上 传 文件 

// 人 允许 匿名 用 户 创 建文 件 夹 


anon_other_write_enable 一 YES 表示 允许 匿名 用 户 删 除 文件 。 


提示 


个 文件 夹 ,结果 出 错 了 ,如 图 11-2 所 示 。 


(3) 允许 SELinux, 让 防火 墙 放行 ftp 服务 ,重启 vsftpd 服务 。 


[root@ serverl ~ ]# setenforce 0 


[root@ serverl ~ ]# firewall~ cmd -~ Permenent —— add- servicer ftp 


[root@ serverl ~ ]#firewall- cmd -~ reload 


[root@serverl ~ ]#firewall- cmd -- list-all 


[root@ serverl ~ ]# systemctl] restart vsftpd 


在 Windows 7 客户 端的 资源 管理 器 中 输入 ftp://192. 168. 10.1, 打 开 pub 目录 ,新 建 一 


这 是 什么 原因 引起 的 呢 ? 原来 是 因为 系统 的 本 地 权限 没有 设置 。 
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(x) 在 FTP 服务 器 上 新 建文 件 夫 时 发 生 错 误 . 


详细 信息 - 
550 Create directory operation failed. 


图 11-2 测试 FTP 服务 器 192. 168. 1. 30 出 错 
(4) 设置 本 地 系统 权限 ,将 文件 的 拥有 者 设 为 ftp, 或 者 对 pub 目录 赋予 其 他 用 户 写 的 权限 。 


[root@serverl ~ ]# 1 - 1d /var/ftp/pub 

drwar- xr- x. 2 root root 6 Mar 23 2017 /var/ftp/pub /| 其 他 用 户 没有 写 人 权限 

[root@ serverl ~ ]# chow ftp /var/ftp/pub // 将 文件 的 拥有 者 改 为 匿名 用 户 ftp 
[root@serverl ~ ]# chmod ot w /var/ftp/pub // 赋 予 其 他 用 户 写 的 权限 
[root@serverl ~ ]# 1 -ld /var/ftp/pib 

drwr- sr-x. 2 ftp roct 6Mar 23 2017 /var/ftp/pib ”// 已 将 文件 的 拥有 者 改 为 匿名 用 户 ftp 
[root@ serverl ~ ]# systemct] restart vsftpd 


(5) 在 Windows 7 客户 端 再 次 测试 ,在 pub 目录 下 能 够 建立 新 文件 夹 。 


应 如 果 在 Linux 上 测试 ,需要 安装 ftp 软件 ,在 用 户 名 处 输入 ftp, 密 码 处 直接 
小 按 Enter 键 即 可 。 


不 够 的 ,还 需要 注意 开放 本 地 文件 系统 权限 ,使 匿名 用 户 拥有 写 权 限 才 行 ,或 者 
注意， 改变 文件 的 拥有 者 为 fp。 在 项 目 实录 中 有 针对 此 问题 的 解决 方案 。 另 外 ,要 特 
别 注意 防火 墙 和 SELinux 的 设置 。 


i 如 果 要 实现 匿名 用 户 创建 文件 等 功能 ,仅仅 在 配置 文件 中 开启 这 些 功 能 是 


11.5 配置 本 地 模式 的 常规 FTP 服务 器 实例 


1. FTP 服务 器 配置 要 求 
公司 内 部 现在 有 一 台 FTP 服务 器 和 Web 服务 器 ,FTP 服务 器 主要 用 于 维护 公司 的 网 
站 内 容 , 包 括 上 传 文件 .创建 目录 、 更 新 网 页 等 。 公 司 现 有 两 个 部 门 负责 维护 任务 ,两 者 分 别 
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适用 于 teaml 和 team2 账号 进行 管理 。 先 要 求 仅 允许 teaml 和 team2 账号 登录 FTP 服务 
器 ,但 不 能 登录 本 地 系统 ,并 将 这 两 个 账号 的 根 目录 限制 为 /web/www/html, 不 能 进入 该 目 
录 以 外 的 任何 目录 。 

2. 需求 分 析 

FTP 服务 器 和 Web 服务 器 共用 一 台 机 器 是 企业 经 常 采 用 的 方法 ,这 样 便于 对 网 站 进行 
维护 。 为 了 增强 安全 性 ,首先 ,需要 使 用 仅 允 许 本 地 用 户 访问 ,并 禁止 匿名 用 户 登 录 。 其 次 ， 
使 用 chroot 功能 将 teaml 和 team2 锁定 在 /web/www/html 目录 下 。 如 果 需 要 删除 文件 ， 
则 还 需要 注意 本 地 权限 。 


3. 解决 方案 
(1) 建立 维护 网 站 内 容 的 FTP 账号 teaml ,team2 和 userl 并 禁止 本 地 登录 ,然后 为 其 
设置 密码 。 


[root@ serverl ~ ]# Useract - s /sbin/nologin teeml 
[root@ serverl ~ ]# useradd - s /sbin/nologin teen2 
[root@ serverl ~ ]# useradd - s /sbin/nologin userl 
[root@ serverl ~ ]#passwd teeml 
[root@ serverl ~ ]#passwd teenm2 
[root@serverl ~ ]#passwd userl 


(2) 配置 vsftpd. conf 主 配置 文件 并 做 相应 修改 。( 写 入 配置 文件 时 ,注释 一 定 去 掉 , 语 
句 前 后 不 要 加 空格 。 另 外 ,要 把 11. 3 节 的 配置 文件 恢复 到 最 初 状态 ,避免 实 训 间 互相 


影响 。) 
[root@ serverl ~ ]# vim /etc/vsftpd/vsftpd.oonf 
anonymous_enable=ND # 禁 止 匿名 用 户 登录 
local enable= YES # 人 允许 本 地 用 户 登录 
local_root= /web/www/html # 设 置 本 地 用 户 的 根 目录 为 /web/www/html 
chroot local user=NO # 限 制 本 地 用 户 。 这 是 默认 值 ,可 以 省 略 
chroot list_enable= YES # 激 活 chroot 功能 
chroot list filer /etc/vsftpd/chroot list # 设 置 锁定 用 户 在 根 目录 中 的 列表 文件 


allow writeable chroot= YES 


chroot_local_user 一 NO 是 默认 设置 , 即 如 果 不 做 任何 chroot 设置 , 则 FTP 
登录 目录 是 不 做 限制 的 。 另 外 ,只 要 启用 chroot, 一 定 增加 allow_writeable_ 
提 示 ”chroot 二 YES 语句。 为 什么 呢 7? 因为 vsftpd 后 来 增强 了 安全 检查 ,如 果 用 户 被 
限定 在 了 其 主 目录 下 , 则 该 用 户 的 主 目录 不 能 再 具有 写 权 限 。 如 果 检 查 发 现 还 
有 写 权 限 , 就 会 报错 误 “500 OOPS: vsftpd: refusing to run with writable root 
inside chroot(). ”。 
要 修复 这 个 错误 ,可 以 用 命令 chmod a-w /web/www/html 去 除 用 户主 目录 
的 写 权限 ,注意 把 目录 替换 成 你 所 需要 的 ,本 例 是 /web/www/html。 不 过 ,这 样 
就 无 法 写 入 了 。 还 有 一 种 方法 就 是 可 以 在 vsftpd 的 配置 文件 中 增加 allow_ 
writeable_chroot 一 YES 项 。 


> [a | 


(3) 建立 /etc/vsftpd/chroot_list 文件 ,添加 teaml 和 team2 账号 。 


(4) 防火 墙 放行 和 SELinux 人 允许。 重启 FTP 服务 。 


思考 : 如 果 设 置 setenforce 1, 那 么 必须 执行 setsebool -P ftpd_full_access 一 on, 以 便于 
保证 目录 的 正常 写 入 和 删除 等 操作 。 
(5) 修改 本 地 权限 。 


(6) 在 Linux 客户 端 clientl 上 先 安装 FTP 工具 ,然后 测试 。 


@ 使 用 teaml 和 team2 用 户 不 能 转换 目录 ,但 能 建立 新 文件 夹 ,显示 的 目录 是 “/”, 其 
实 是 /web/www/html 文件 夹 。 


@ 使 用 userl 用 户 能 自由 转换 目录 ,可 以 将 /etc/passwd 文件 下 载 到 主 目录 。 
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ftp> cd web/www/html 

250 Directory successfully changed. 

ftp>]ls 

227 Entering Passive Mpde (192,168,10,1,182,144) - 

150 Here cames the directory listing. 

本 国生 二 二 10 0 0 ual 21 01:25 test.sanple 
drwar- xr—x 2 1001 1001 6 Jul 21 01:48 testteaml 
Grwxr— xr-x 2 1003 1003 6 Jul 21 01:50 testuserl 
226 Directory send OK 


11.6 设置 vsftp 虚拟 账号 


FTP 服务 器 的 搭建 工作 并 不 复杂 ,但 需要 按照 服务 器 的 用 途 ,合理 规划 相关 配置 。 如 果 
FTP 服务 器 并 不 对 互联 网 上 的 所 有 用 户 开放 , 则 可 以 关闭 匿名 访问 ,而 开启 实体 账户 或 者 虚 
拟 账户 的 验证 机 制 。 但 在 实际 操作 中 ,如 果 使 用 实体 账户 访问 ,FTP 用 户 在 拥有 服务 器 真实 
用 户 名 和 密码 的 情况 下 ,会 对 服务 器 产生 潜在 的 危害 ,FTP 服务 器 如 果 设置 不 当 , 则 用 户 有 
可 能 使 用 实体 账号 进行 非法 操作 。 所 以 ,为 了 FTP 服务 器 的 安全 ,可 以 使 用 虚拟 用 户 验 证 
方式 ,也 就 是 将 虚拟 的 账号 映射 为 服务 器 的 实体 账号 ,客户 端 使 用 虚拟 账号 访问 FTP 服 
务 顺 。 

要 求 : 使 用 虚拟 用 户 user2 .user3 登录 FTP 服务 器 ,访问 主 目录 是 /var/ftp/vuser, 用 户 
只 允许 查看 文件 ,不 允许 上 传 、 修 改 等 操作 。 

对 于 vsftp 虚拟 账号 的 配置 主要 有 以 下 几 个 步骤 。 

1. 创建 用 户 数据 库 


(1) 创建 用 户 文本 文件 
建立 保存 虚拟 账号 和 密码 的 文本 文件 ,格式 如 下 : 


使 用 Vim 编辑 器 建立 用 户 文 件 vuser. txt ,添加 虚拟 账号 user2 和 user3 ,如 下 所 示 。 


[root@serverl ~ ]#mkdir /vftp 

[root@ serverl ~ ]# vim /vftp/vuser.txt 
User2 

12345678 

User 3 

12345678 


(2) 生成 数据 库 
保存 虚拟 账号 及 密码 的 文本 文件 无 法 被 系统 账号 直接 调用 ,需要 使 用 db_load 命令 生 
成 db 数据 库 文件 。 
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[root@serverl ~ ]#db load -T -t hash - £ /vftp/vuser.txt /vftp/vuser.db 
[root@serverl ~ ]#1s /vftp 
Vuser.db vuser.txt 


(3) 修改 数据 库 文件 的 访问 权限 
数据 库 文件 中 保存 着 虚拟 账号 和 密码 信息 ,为 了 防止 非法 用 户 盗 取 ,可 以 修改 该 文件 的 


访问 权限 。 


块 。 


[root@ serverl ~ ]# chmod 700 /vftp/vuser.db 
[root@serverl ~ #1 nftp 


2. 配置 PAM 文件 
为 了 使 服务 器 能 够 使 用 数据 库 文件 ,对 客户 端 进行 身份 验证 ,需要 调用 系统 的 PAM 模 
PAM(Plugable Authentication Module) 为 可 插 拔 认证 模块 ,不 必 重 新 安装 应 用 程序 , 通 


过 修改 指定 的 配置 文件 ,调整 对 该 程序 的 认证 方式 。PAM 模块 配置 文件 路 径 为 /etc/pam. 
d, 该 目录 下 保存 着 大 量 与 认证 有 关 的 配置 文件 ,并 以 服务 名 称 命名 。 


下 面 修改 vsftp 对 应 的 PAM 配置 文件 /etc/pam. d/vsftpd, 将 默认 配置 使 用 *#” 全 部 注 


释 , 添 加 相应 字段 ,程序 代码 如 下 : 


[root@ serverl ~ ]#vim /etc/pem.d/vsftpd 

#PAM-1.0 

#3ession optional pam keyinit.so force revoke 
#auth required pam listfile.so itewuser sense-deny 
# file= /etc/vsftpd/ftpusers onerr= succeed 

# auth required pam shells.so 

auth reqhired pem userdb.so db= /vftp/vuser 

account reqired pem userdb.so db= /vftp/vuser 


3. 创建 虚拟 账户 对 应 系统 用 户 
程序 代码 如 下 : 


[root@serverl ~ ]#useradd - d /var/ftp/vuser vuser 
[root@ serverl ~ ]# chown vuser .vuser /var/ftp/vuser 
[root@ serverl ~ ]# dmod 555 /var/ftp/vuser 

[root@serverl ~ ]#1s - 1d /var/ftp/vuser 

cr- xr- xr- Xx. 6 Vuser Vuser 127 Jul 21 14:28 /var/ftp/vuser 


Se@ee 


以 上 代码 中 其 后 带 序号 的 各 行 功能 说 明 如 下 。 

Q@ 用 useradd 命令 添加 系统 账户 vuser, 并 将 其 /home 目录 指定 为 /var/ftp 下 的 vuser。 
@ 变更 vuser 目录 的 所 属 用 户 和 组 , 设 定 为 vuser 用 户 、vuser 组 。 

@ 当 匿 名 账户 登录 时 会 映射 为 系统 账户 ,并 登录 /var/ftp/vuser 目录 ,但 其 并 没有 访问 


该 目录 的 权限 ,需要 为 vuser 目录 的 属 主 ` 属 组 和 其 他 用 户 和 组 添加 读 与 执行 权限 。 
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@ 使 用 ls 命令 ,查看 vuser 目录 的 详细 信息 。 至 此 ,系统 账号 主 目录 设置 完毕 。 


4. 修改 /etc/vsftpd/vsftpd. conf 
相关 修改 内 容 如 下 。 


以 上 代码 中 其 后 带 序号 的 各 行 功能 说 明 如 下 : 

@ 为 了 保证 服务 器 的 安全 ,关闭 匿名 访问 ,以 及 其 他 匿名 相关 设置 。 
@ 虚拟 账号 会 映射 为 服务 器 的 系统 账号 ,所 以 需要 开启 本 地 账号 的 支持 。 
@ 锁定 账户 的 根 目录 。 

@ 关闭 用 户 的 写 权 限 。 

@ 开启 虚拟 账号 访问 功能 。 

@ 设置 虚拟 账号 对 应 的 系统 账号 为 vuser。 

@ 设置 FTP 服务 器 为 独立 运行 。 

@ 配置 vsftp 使 用 的 PAM 模块 为 vsftpd。 

5. 设置 防火 墙 并 重启 vsftpd 服务 

设置 防火 墙 放行 和 SELinux 允许 ,重启 vsftpd 服务 。 

6. 在 Clientl 上 测试 


使 用 虚拟 账号 user2、user3 登录 FTP 服务 器 并 进行 测试 ,会 发 现 虚拟 账号 登录 成 功 , 并 
显示 FTP 服务 器 目录 信息 。 


> T2505 | < 


7. 补充 服务 器 端 vsftp 的 主 被 动 模式 配置 
(1) 主动 模式 配置 


(2) 被 动 模式 配置 


11.7 练习 题 


一 、 填空 题 

1. FTP 服务 就 是 服务 ,FTP 的 英文 全 称 是 。 

2. FTP 服务 通过 使 用 一 个 共同 的 用 户 名 而 密码 不 限 的 管理 策略 ,让 任何 用 户 
都 可 以 很 方便 地 从 这 些 服务 器 上 下 载 软件 。 


3. FTP 服务 有 两 种 工作 模式 : 和 。 
4. FTP 命令 的 格式 为 8 
二 、 选 择 题 
1. ftp 命令 的 ( ) 参 数 可 以 与 指定 的 机 器 建立 连接 。 
A. connect B. close C. cdup D. open 
2. FTP 服务 使 用 的 端口 是 ( )。 
A 21 B23 C. 25 D: 53 
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3. 从 Internet 上 获得 软件 最 常 采 用 的 是 ( ) 。 


A. WWW B. Telnet C. FTP D. DNS 
4. 一 次 下 载 多 个 文件 可 以 用 ( ) 命 令 。 

A. mget B. get C. put D. mput 
5. 不 是 FTP 用 户 的 类 别 的 是 (。”)。 

A. real B. anonymous C. guest D. users 
6. 修改 文件 vsftpd. conf 的 ( 。“) 可 以 实现 vsftpd 服务 独立 启动 。 

A. listen=YES B. listen= NO 

C. boot= standalone D. #listen=YES 


7. 将 用 户 加 入 以 下 ( ) 文 件 中 可 能 会 阻止 用 户 访问 FTP 服务 器 。 
A. vsftpd/ftpusers B. vsftpd/user_ list C. ftpd/ftpusers D. ftpd/userlist 


三 、 简 答题 

1. 简 述 FTP 的 工作 原理 。 

2. 简 述 FTP 服务 的 传输 模式 。 
3. 简 述 常用 的 FTP 软件。 


.8 项 目 实录 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 背 景 

某 企业 网 络 拓扑 图 如 图 11-3 所 示 ,该 企业 想 构 建 一 台 FTP 服务 器 ,为 企业 局 域 网 中 的 
计算 机 提供 文件 传送 任务 ,为 财务 部 门 .销售 部 门 和 OA 系统 提供 异地 数据 备份 要 求 能 够 
对 FTP 服务 器 设置 连接 限制 .日志 记录 、 消 息 、 验 证 客户 端 身份 等 属性 ,并 能 创建 用 户 隔 离 
的 FTP 站 点 。 


1 


ly 


FTP 服 务 器 ”OA 系统 1 


FTP 客户 端 ， 
图 11-3 FTP 服务 器 的 搭建 与 配置 网 络 拓扑 


3. 深度 思考 
在 观看 视频 时 思考 以 下 几 个 问题 。 
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(1) 如 何 使 用 service vsftpd status 命令 检查 vsftp 的 安装 状态 ? 

(2) FTP 权限 和 文件 系统 权限 有 何不 同 ? 如 何 进行 设置 ? 

(3) 为 何不 建议 对 根 目录 设置 写 权 限 ? 

(4) 如 何 设置 进入 目录 后 的 欢迎 信息 ? 

(5) 如 何 将 FTP 用 户 锁定 在 其 宿主 目录 中 ? 

(6) user_list 和 ftpusers 文件 都 存 有 用 户 名 列表 ,如 果 一 个 用 户 同时 存在 于 两 个 文件 
中 ,最 终 的 执行 结果 是 怎样 的 ? 


4. 做 一 做 
根据 项 目 要 求 及 视频 内 容 将 项 目 完整 地 做 一 遍 。 


11.9 实 训 : FTP 服务 器 的 配置 


1. 实 训 目的 及 内 容 
(1) 掌握 Linux 下 vsftpd 服务 器 的 架设 方法 。 
(2) 掌握 vsftpd 服务 器 的 各 种 配置 。 


2. 实 训 环境 
在 VMware 虚拟 机 中 启动 一 台 Linux 服务 器 作为 vsftpd 服务 器 ,在 该 系统 中 添加 用 户 


userl 和 user2 。 


3. 实 训练 习 

(1) 确保 系统 安装 了 vsftpd 软件 包 。 

(2) 设置 匿名 账号 具有 上 传 .创建 目录 的 权限 。 

(3) 利用 /etc/vsftpd. ftpusers 文件 ,设置 禁止 本 地 userl 用 户 登 录 FTP 服务 器 。 

(4) 设置 本 地 用 户 user2 在 登录 FTP 服务 器 后 进入 dir 目录 时 显示 提示 信息 welcome。 

(5) 设置 将 所 有 本 地 用 户 都 锁定 在 家 目录 中 。 

(6) 设置 只 有 在 /etc/vsftpd. user_list 文件 中 指定 的 本 地 用 户 userl 和 user2 可 以 访问 
FTP 服务 器 ,其 他 用 户 都 不 可 以 。 

(7) 配置 基于 主机 的 访问 控制 并 实现 以 下 功能 。 

。 拒绝 192. 168. 6.0/24 访问 。 

。 对 域 smile. com 和 192. 168. 2. 0/24 内 的 主机 不 做 连接 数 和 最 大 传输 速率 限制 。 

。 对 其 他 主机 的 访问 限制 是 每 个 IP 地 址 的 连接 数 为 1 ,最 大 传输 速率 为 20KB/s。 

(8) 使 用 PAM 实现 基于 虚拟 用 户 的 FTP 服务 器 的 配置 。 

。 创建 虚拟 用 户口 令 库 文件 。 

。 生成 虚拟 用 户 所 需 的 PAM 配置 文件 /etc/pam. d/vsftpd。 

。 修改 vsftpd. conf 文件 。 

。 重新 启动 vsftpd 服务 。 

。 测试 。 

4. 实 训 报告 

按 要 求 完成 实 训 报告 。 
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电子 邮件 服务 是 互联 网 上 最 受 欢 迎 、 应 用 最 广泛 的 服务 之 一 ,用 户 可 以 通 
过 电子 邮件 服务 实现 与 远程 用 户 的 信息 交流 ,能 够 实现 电子 邮件 收发 服务 的 服 
务 器 称 为 邮件 服务 器 。 本 章 将 介绍 基于 Linux 平台 的 sendmail 邮件 服务 器 的 
配置 及 基于 Web 界面 的 Open Webmail 邮件 服务 器 的 架设 方法 。 


。 电子 邮件 服务 的 工作 原理 。 


[SS 。 sendmail 和 POP3 邮件 服务 器 的 配置 。 
。 电子 邮件 服务 器 的 测试 。 


12.1 了 解 电子 邮件 服务 工作 原理 


电子 邮件 (Electronic Mail ,E-mail) 服 务 是 Internet 最 基本 也 是 最 重要 的 服务 之 一 
12.1.1 电子 邮件 服务 概述 


与 现实 生活 中 的 邮件 传递 类 似 , 每 个 人 必须 有 一 个 唯一 的 电子 邮件 地 址 。 电 子 邮件 地 
址 的 格式 是 user@server, com, 由 3 部 分 组 成 。 第 一 部 分 USER 代表 用 户 邮 箱 账号 ,对 于 同 
-个 邮件 接收 服务 器 来 说 ,这 个 账号 必须 是 唯一 的 ;第 二 部 分 “@” 是 分 隔 符 ;第 三 部 分 
server. com 是 用 户 信箱 的 邮件 接收 服务 器 域名 ,用 以 标识 其 所 在 的 位 置 。Linux 邮件 服务 
器 上 的 邮件 存储 空间 通常 是 位 于 /var/spool/mail 目录 下 的 文件 。 


12.1.2 电子 邮件 系统 的 组 成 
Linux 系统 中 的 电子 邮件 系统 包括 3 个 组 件 : MUA(Mail User Agent, 邮 件 用 户 代理 ) 、 
MTA(Mail Transfer Agent, 邮 件 传送 代理 ) 和 MDA(Mail Dilivery Agent, 邮 件 投递 代理 ) 。 
1. MUA 
MUA 是 电子 邮件 系统 的 客户 端 程序 , 它 是 用 户 与 电子 邮件 系统 的 接口 ,主要 负责 邮件 


的 发 送 和 接收 及 邮件 的 撰写 、 阅 读 等 工作 。 目 前 主流 的 用 户 代 理 软件 有 基于 Windows 平台 
的 Outlook、Foxmail 和 基于 Linux 平台 的 mail、elm、pine、Evolution 等 。 
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2. MTA 
MTA 是 电子 邮件 系统 的 服务 器 端 程序 ,主要 负责 邮件 的 存储 和 转发 。 最 常用 的 MTA 
软件 有 基于 Windows 平台 的 Exchange 和 基于 Linux 平台 的 sendmail、qmail 与 postfix 等 。 


3. MDA 
MDA 有 时 也 称 为 LDA(Local Dilivery Agent, 本 地 投递 代理 )。MTA 把 邮件 投递 到 邮 
件 接收 者 所 在 的 邮件 服务 器 ,MDA 则 负责 把 邮件 按照 接收 者 的 用 户 名 投递 到 邮箱 中 。 


4. MUA MTA 和 MDA 协同 工作 

总 体 来 说 , 当 使 用 MUA 程序 写 信 (例如 elm pine 或 mail) 时 ,应 用 程序 把 信件 传 给 
sendmail 或 Postfix 这 样 的 MTA 程序 。 如 果 信 件 是 寄 给 局 域 网 或 本 地 主机 的 ,那么 MTA 
程序 从 地 址 上 就 可 以 确定 这 个 信息 。 如 果 信件 是 发 给 远程 系统 用 户 的 ,那么 MTA 程序 必 
须 能 够 选择 路 由 ,与 远程 邮件 服务 器 建立 连接 并 发 送 邮 件 。MTA 程序 还 必须 能 够 处 理发 送 
邮件 时 产生 的 问题 ,并 且 能 向 发 信人 报告 出 错 信息 。 例 如 , 当 邮 件 没有 填写 地 址 或 收 信人 不 
存在 时 ,MTA 程序 要 向 发 信人 报错 。MTA 程序 还 支持 别名 机 制 ,使 得 用 户 能 够 方便 地 用 
不 同 的 名 字 与 其 他 用 户 、 主 机 或 网 络 通信 。MDA 的 作用 主要 是 把 MTA 收 到 的 邮件 信息 投 
递 到 相应 的 邮箱 中 。 


12.1.3 电子 邮件 的 传输 过 程 


电子 邮件 与 普通 邮件 有 类 似 的 地 方 , 发 信者 注 明 收 件 人 的 姓名 与 地 址 ( 即 邮 件 地 址 ) ,发 
送 方 服务 器 把 邮件 传 到 收 件 方 服务 器 , 收 件 方 服务 器 再 把 邮件 发 到 收 件 人 的 邮箱 中 ,如 
图 12-1 所 示 。 


发 件 服务 器 | SMIP -~ | 收 件 服务 器 


图 12-1 电子 邮件 发 送 示意 图 


以 一 封 邮件 的 传递 过 程 为 例 , 图 12-2 是 邮件 发 送 的 基本 过 程 。 


| MUA =| MTA 一 | MTA =| MTA 二 | MDA | 邮箱 


ee 


队列 队列 队列 
12-2 电子 邮件 传输 过 程 


(1) 邮件 用 户 在 客户 机 使 用 MUA 撰写 邮件 ,并 将 写 好 的 邮件 提交 给 本 地 MTA 上 的 缓 
冲 区 。 

(2) MTA 每 隔 一 定时 间 发 送 一 次 缓冲 区 中 的 邮件 队列 。MTA 根据 邮件 的 接收 者 地 
址 ,使 用 DNS 服务 器 的 MX( 邮 件 交换 器 资源 记录 ) 解 析 邮 件 地 址 的 域名 部 分 ,从 而 决定 将 
邮件 投递 到 哪 一 个 目标 主机 。 

(3) 目标 主机 上 的 MTA 收 到 邮件 以 后 ,根据 邮件 地 址 中 的 用 户 名 部 分 判断 用 户 的 邮 
箱 ,并 使 用 MDA 将 邮件 投递 到 该 用 户 的 邮箱 中 。 
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(4) 该 邮件 的 接收 者 可 以 使 用 常用 的 MUA 软件 登录 邮箱 查阅 新 邮件 ,并 根据 自己 的 需 
要 作 相 应 的 处 理 。 


12.1.4 与 电子 邮件 相关 的 协议 
常用 的 与 电子 邮件 相关 的 协议 有 SMTP、POP3 和 IMAP4。 


1. SMTP(Simple Mail Transfer Protocol) 

SMTP 即 简 单 邮件 传输 协议 ,该 协议 默认 工作 在 TCP 的 25 端口 。SMTP 属于 客户 机 / 
服务 器 模型 , 它 是 一 组 用 于 由 源 地 址 到 目的 地 址 传送 邮件 的 规则 ,由 它 来 控制 信件 的 中 转 方 
式 。SMTP 属于 TCP/IP 协议 得, 它 帮助 每 台 计 算 机 在 发 送 或 中 转 信件 时 找到 下 一 个 目的 
地 。 通 过 SMTP 所 指定 的 服务 器 就 可 以 把 电子 邮件 发 送 到 收 件 人 的 服务 器 上 。 


2. POP3(Post Office Protocol 3) 

POP3 即 邮局 协议 的 第 3 个 版 本 ,该 协议 默认 工作 在 TCP 的 110 端口 。POP3 同样 属 
于 客户 机 /服务 器 模型 , 它 是 规定 怎样 将 个 人 计算 机 连接 到 Internet 的 邮件 服务 器 和 下 载 电 
子 邮件 的 协议 。 它 是 Internet 电子 邮件 的 第 一 个 离线 协议 标准 。POP3 允许 从 服务 器 上 把 
邮件 存储 到 本 地 主机 即 自己 的 计算 机 上 ,同时 删除 保存 在 邮件 服务 器 上 的 邮件 。 遵 循 POP3 
来 接收 电子 邮件 的 服务 器 是 POP3 服务 器 。 


3. IMAP4(Internet Message Access Protocol 4) 

IMAP4 即 Internet 信息 访问 协议 的 第 4 个 版 本 ,该 协议 默认 工作 在 TCP 的 143 端口 。 
IMAP4 是 用 于 从 本 地 服务 器 上 访问 电子 邮件 的 协议 , 它 也 是 一 个 客户 机 /服务 器 模型 协议 。 
用 户 的 电子 邮件 由 服务 器 负责 接收 并 保存 ,用 户 可 以 通过 浏览 信件 标题 来 决定 是 否 要 下 载 
此 信件 ,用 户 也 可 以 在 服务 器 上 创建 或 更 改 文件 夹 或 邮箱 ,删除 信件 或 检索 信件 的 特定 
部 分 。 


虽然 POP3 和 IMAP4 都 用 于 处 理 电子 邮件 的 接收 ,但 二 者 在 机 制 上 却 有 所 

不 同 。 在 用 户 访问 电子 邮件 时 ,IMAP4 需要 持续 访问 邮件 服务 器 ,而 POP3 则 是 

注 意 ”将 信件 保存 在 服务 器 上 , 当 用 户 阅 读 信 件 时 ,所 有 内 容 都 会 被 立即 下 载 到 用 户 的 
计算 机 上 。 


12.1.5 邮件 中 继 


前 面 讲解 了 整个 邮件 发 送 的 流程 。 实 际 上 邮件 服务 器 在 接收 到 邮件 以 后 ,会 根据 邮件 
的 目的 地 址 判断 该 邮件 是 发 送 至 本 域 还 是 外 部 ,然后 再 分 别 进行 不 同 的 操作 ,常见 的 处 理 方 
法 有 以 下 两 种 。 

1. 本 地 邮件 发 送 

当 邮 件 服务 器 检测 到 邮件 发 往 本 地 邮箱 时 ,如 yun@ smile. com 发 送 至 long@ smile. 
com, 处 理 方法 比较 简单 ,会 直接 将 邮件 发 往 指定 的 邮箱 。 


2. 邮件 中 继 
中 继 是 指 要 求 服务 器 向 其 他 服务 器 传递 邮件 的 一 种 请 求 。 一 台 服 务 器 处 理 的 邮件 只 有 
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两 类 ,一 类 是 外 发 的 邮件 ,一 类 是 接收 的 邮件 。 前 者 是 本 域 用 户 通过 服务 器 要 向 外 部 转发 的 
邮件 ,后 者 是 发 给 本 域 用 户 的 。 

一 台 服 务 器 不 应 该 处 理 过 路 的 邮件 。 所 谓 过 路 邮件 就 是 既 不 是 自己 的 用 户 发 送 的 邮 
件 , 也 不 是 发 给 自己 的 用 户 的 邮件 ,而 是 一 个 外 部 用 户 发 给 另 一 个 外 部 用 户 的 邮件 ,这 一 行 
为 称 为 第 三 方 中 继 。 如 果 不 需 要 经 过 验证 就 可 以 中 继 邮件 到 组 织 外 , 则 称 为 OPEN 
RELAY( 开 放 中 继 ),“ 第 三 方 中 继 ” 和 “开放 中 继 ” 是 要 禁止 的 ,但 中 继 不 能 关闭 。 这 里 需要 
了 解 几 个 概念 。 

(1) 中 继 

用 户 通过 服务 器 将 邮件 传递 到 组 织 外 。 

(2) OPEN RELAY 

不 受 限制 的 组 织 外 中 继 , 即 无 验证 的 用 户 也 可 提交 中 继 请 求 。 

(3) 第 三 方 中 继 

由 服务 器 提交 的 OPEN RELAY 不 是 从 客户 端 直接 提交 的 。 比 如 用 户 的 域 是 A, 通 过 
服务 器 B( 属 于 B 域 ) 中 转 邮 件 到 C 域 。 这 时 在 服务 器 B 上 看 到 的 是 连接 请 求 来 源 于 A 域 
的 服务 器 (不 是 客户 ) ,而 邮件 既 不 是 服务 器 B 所 在 域 用 户 提交 的 ,也 不 是 发 往 B 域 的 ,这 就 属 
于 第 三 方 中 继 。 如 果 用 户 通过 直接 连接 你 的 服务 器 发 送 邮件 ,这 是 无 法 阻止 的 ,比如 群发 软 
件 , 但 如 果 关闭 了 OPEN RELAY ,那么 只 能 发 信 到 你 的 组 织 内 用 户 ,无 法 将 邮件 中 继 发 出 。 


如 果 关 闭 了 OPEN RELAY, 那 么 必须 是 该 组 织 成 员 通过 验证 后 才 可 以 提交 
中 继 请 求 , 也 就 是 说 ,用 户 要 发 邮件 到 组 织 外 ,一 定 要 经 过 验证 。 需 要 注意 的 是 
提 示 不 能 关闭 中 继 ,否则 邮件 系统 只 能 在 组 织 内 使 用 。 邮 件 认 证 机 制 要 求 用 户 在 发 
送 邮件 时 必须 提交 账号 及 密码 ,邮件 服务 器 验证 该 用 户 属于 该 域 合法 用 户 后 , 才 
允许 转发 邮件 。 


12.2 配置 Postfix 常规 服务 器 


在 CentOS 5、CentOS 6 以 及 诸多 早期 的 Linux 系统 中 ,默认 使 用 的 发 件 服务 是 由 
Sendmail 服务 程序 提供 的 ,而 在 CentOS 7 系统 中 已 经 替换 为 Postfix 服务 程序 。 相 较 于 
Sendmail 服务 程序 ,Postfix 服务 程序 减少 了 很 多 不 必要 的 配置 步骤 ,而 且 在 稳定 性 、 并 发 性 
方面 也 有 很 大 改进 。 

如 果 想 要 成 功 地 架设 Postfix 服务 器 ,除了 需要 理解 其 工作 原理 外 ,还 需要 清楚 整个 设 
定 流程 ,以 及 在 整个 流程 中 每 一 步 的 作用 。 一 个 简易 Postfix 服务 器 设 定 流程 主要 包含 以 下 
几 个 步骤 。 

(1) 配置 好 DNS。 

(2) 配置 Postfix 服务 程序 。 

(3) 配置 Dovecot 服务 程序 。 

(4) 创建 电子 邮件 系统 的 登录 账户 。 

(5) 启动 Postfix 服务 器 。 

(6) 测试 电子 邮件 系统 。 
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1. 安装 bind 和 postfix 服务 


[root@serverl ~ ]#1rEm -qpostfix 
[root@ serverl ~ ]#mkdir /iso 
[root@ serverl ~ ]#mount /dev/cdran /iso 


[root@serverl ~ ]# yum clean all // 安 装 前 先 清除 缓存 
[rooteserverl ~ ]# yum install bind Postfix -Y 
[root@serverl ~ ]# Fm - qalgrep postfix // 检 查 安装 组 件 是 否 成 功 


Postfix- 2.10.1- 6.e17.x86 64 


2. 开放 并 重启 DNS、SMTP 服务 
打开 SELinux 有 关 的 布尔 值 , 在 防火 墙 中 开放 DNS、SMTP 服务 。 重 启 服务 ,并 设置 开 
机 重启 生效 。 


[root@serverl ~ ]# setsebool - P allow postfix local write mail spool cn 
[root@ serverl ~ ]# systemctl restart postfix 

[root@ serverl ~ ]# systemctl restart nemed 

[root@ serverl ~ ]# systemctl enable pemed 

[root@serverl ~ ]# systemct] enable Postfix 

[root@ serverl ~ ]# firewall- cmd -~ Permenent ~— add- service= dns 
[root@serverl ~ ]# firewall- and -~ Permanent ~— add- service= smtp 
[root@serverl ~ ]# firewall- cmd -~ reload 


3。Postfix 服务 程序 主 配置 文件 
Postfix 服务 程序 主 配置 文件 (/etc/postfix/main. cf) 有 679 行 左 右 的 内 容 , 主 要 的 配置 
参数 如 表 12-1 所 示 。 


表 12-1 Postfix 服务 程序 主 配置 文件 中 的 重要 参数 


参数 作 用 参数 作 用 
myhostname 邮局 系统 的 主机 名 mydestination 可 接收 邮件 的 主机 名 或 域名 
mydomain 邮局 系统 的 域名 mynetworks 设置 可 转发 哪些 主机 的 邮件 
myorigin 从 本 机 发 出 邮件 的 域名 名 称 relay_domains 设置 可 转发 哪些 网 域 的 邮件 
inet_interfaces 监听 的 网 卡 接口 


在 Postfix 服务 程序 的 主 配 置 文件 中 ,总 计 需 要 修改 5 处 。 
(1) 第 1 处 修改 是 在 第 76 行 定 义 一 个 名 为 myhostname 的 变量 ,用 来 保存 服务 器 的 主 
机 名 称 。 还 要 记 住 


myhostname=mail.long.om 


参数 需要 调用 它 。 
(2) 第 2 处 修改 是 在 第 83 行 定义 一 个 名 为 mydomain 的 变量 ,用 来 保存 邮件 域 的 名 称 。 
后 面 也 要 调用 这 个 变量 。 代 码 如 下 。 
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mydomain= long.com 


(3) 第 3 处 修改 是 在 第 99 行 调用 前 面 的 mydomain 变量 ,用 来 定义 发 出 邮件 的 域 。 调 
变量 的 好 处 是 避免 重复 写 人 信息 ,以 及 便于 日 后 统一 修改 。 


myorigin=$ rzydomain 


(4) 第 4 处 修改 是 在 第 116 行 定 义 网 卡 监听 地 址 。 可 以 指定 要 使 用 服务 器 的 哪些 IP 地 
址 对 外 提供 电子 邮件 服务 ,也 可 以 直接 写成 all, 代 表 所 有 IP 地 址 都 能 提供 电子 邮件 服务 。 


inet interfaces=all 


(5) 第 5 处 修改 是 在 第 164 行 定义 可 接收 邮件 的 主机 名 或 域名 列表 。 这 里 可 以 直接 调 
用 前 面 定义 好 的 myhostname 和 mydomain 变量 (如 果 不 想 调用 变量 ,也 可 以 直接 调用 变量 
中 的 值 ) 。 


mydestination= $5rmyhostname，$Imydcmain, localhost 


4. 别名 和 群发 设置 

用 户 别名 是 经 常用 到 的 一 个 功能 。 顾 名 思 义 ,别名 就 是 给 用 户 起 另外 一 个 名 字 。 例 如 ,给 
用 户 A 起 一 个 别名 为 B, 则 以 后 发 给 B 的 邮件 实际 是 A 用 户 接收 。 为 什么 说 这 是 一 个 经 常用 
到 的 功能 呢 ? 第 一 ,root 用 户 无 法 收发 邮件 ,如 果 有 发 给 root 用 户 的 信件 ,必须 为 root 用 户 建 
立 别名 。 第 二 ,群发 设置 需要 用 到 这 个 功能 。 企 业内 部 在 使 用 邮件 服务 的 时 候 , 经 常会 按照 部 
门 群发 信件 ,发 给 财务 部 门 的 信件 只 有 财务 部 的 人 才 会 收 到 ,其 他 部 门 的 人 则 无 法 收 到 。 

如 果 要 使 用 别名 设置 功能 ,首先 需要 在 /etc 目录 下 建立 文件 aliases; 然 后 编辑 文件 内 
容 , 其 格式 如 下 。 


alias: recipient[, recipient, ...] 


其 中 ,alias 为 邮件 地 址 中 的 用 户 名 (别名 ) ,而 recipient 是 实际 接收 该 邮件 的 用 户 。 下 
面 通过 几 个 例子 来 说 明 用 户 别 名 的 设置 方法 。 
【 例 12-1】 为 userl 账号 设置 别名 为 zhangsan, 为 user2 账号 设置 别名 为 lisi。 方 法 如 下 。 


[root@serverl ~ ]#vim /etc/aliases 
// 添 加 下 面 两 行 : 

zhangsan: userl 

lisi: user2 


【 例 12-2】 假设 网 络 组 的 每 位 成 员 在 本 地 Linux 系统 中 都 拥有 一 个 真实 的 电子 邮件 账 
户 , 现 在 要 给 网 络 组 的 所 有 成 员 发 送 一 封 相同 内 容 的 电子 邮件 。 可 以 使 用 用 户 别 名 机 制 中 
的 邮件 列表 功能 实现 。 方 法 如 下 。 


[root@ serverl ~ ]#vim /etc/aliases 
network group: netl,net2,net3,net4 


i 
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这 样 ,通过 给 network_group 发 送信 件 就 可 以 给 网 络 组 中 的 netl .net2 .net3 和 net4 都 
发 送 了 一 封 同样 的 信件 。 
最 后 ,在 设置 过 aliases 文件 后 ,还 要 使 用 newaliases 命令 生成 aliases. db 数据 库 文件 。 


[root@serverl ~ ]#newaliases 


5. 利用 Access 文件 设置 邮件 中 继 

Access 文件 用 于 控制 邮件 中 继 (RELAY) 和 邮件 的 进出 管理 。 可 以 利用 Access 文件 来 
限制 哪些 客户 端 可 以 使 用 此 邮件 服务 器 来 转发 邮件 。 例 如 限制 某 个 域 的 客户 端 拒绝 转发 邮 
件 , 也 可 以 限制 某 个 网 段 的 客户 端 可 以 转发 邮件 。Access 文件 的 内 容 会 以 列表 形式 体现 出 
来 。 其 格式 如 下 。 


对 象 处 理 方式 


对 象 和 处 理 方式 的 表现 形式 并 不 单一 ,每 一 行 都 包含 对 象 和 对 它们 的 处 理 方式 。 下 面 
对 常见 的 对 象 和 处 理 方式 的 类 型 进行 简单 介绍 。 

Access 文件 中 的 每 一 行 都 具有 一 个 对 象 和 一 种 处 理 方式 ,可 以 根据 环境 需要 进行 二 者 
的 组 合 。 来 看 一 个 现成 的 示例 ,使 用 vim 命令 查看 默认 的 access 文件 。 

默认 的 设置 表示 来 自 本 地 的 客户 端 允 许 使 用 E-mail 服务 器 收发 邮件 。 通 过 修改 
Access 文件 ,可 以 设置 E-mail 服务 器 对 邮件 的 转发 行为 ,但 是 配置 后 必须 使 用 postmap 建 
立新 的 access. db 数据 库 。 

【 例 12-3】 人 允许 192. 168. 0. 0/24 网 段 和 long. com 自由 发 送 邮件 ,但 拒绝 客户 端 clm. 
long. com, 及 除 192. 168. 2. 100 以 外 的 192. 168. 2. 0/24 网 段 的 所 有 主机 。 


[root@ serverl ~ ]# vim /etc/Postfix/access 
CE 


192.168.0 

.long.com [e.g 
clm.long.om REJECT 
192.168.2.100 OK 
192.168.2 OK 


还 需要 在 /etc/postfix/main. cf 中 增加 以 下 内 容 : 


smtpd_client_ restrictions = check client _access hash:/etc/postfix/acoess 


国 只 有 增加 这 一 行 访问 控制 的 过 滤 规 则 (access) 才 生效 。 


最 后 使 用 postmap 生成 新 的 access. db 数据 库 。 


[root@ serverl Postfix]#Postmap hash:/etc/Postfix/access 
[root@server] postfix]#1s - 工 /etc/Postfix/access * 
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—IW-I--I-— . 1 root root 20986 mag 4 18:53 /etc/postfix/acoess 
—IWw-I-—Ir-—. 1 root root 12288 Rag 4 18:55 /etc/postfix/access.db 


6. 设置 邮箱 容量 


(1) 设置 用 户 邮件 的 大 小 限制 


编辑 /etc/ postfix/ main. cf 配置 文件 ,限制 发 送 的 邮件 大 小 最 大 为 5MB, 然 后 添加 以 下 内 容 : 


message size limit= 5000000 


(2) 通过 磁盘 配额 限制 用 户 邮 箱 空间 
Q@ 使 用 "df -hT" 查 看 邮件 目录 挂 载 信息 ,如 图 12-3 所 示 。 


区 件 系统 类 型 容量 已 用 可 用 已 用 % 挂 载 点 
dev/sda2 ext4 9.16 102M 8.56 2% / 

devtmpfs devtmpfs 472M 0 472M 0% /dev 

mpfs tmpfs 488M 0 488M 0% /dev/shm 
mpfs tmpfs 488M 15M 473M 4% /run 

mpfs tmpfs 488M 0 488M 。 0% /sys/fs/cgroup 
dev/sda5 ext4 7.36 3.26 3.76 47% /usr 
dev/sda3 ext4 7.86 333M 7.16 5% /home 
dev/sdal ext4 283M 124M 141M 47% /boot 
dev/sda7 ext4 922M 2.6M 856M 1% /tmp 

dev/ 5da6 ext4 7.36 228M 6.66 4% /Var ] 
mpTS tmpfS 98M 36K 98M 1% /run/user/0 
dev/sro iso9660 ”4.26 4.26 0 100% /iso 


root@serverl "|# 明 


图 12-3 查看 邮件 目录 挂 载 信息 


@ 使 用 Vim 编辑 器 修改 /etc/fstab 文件 ,如 图 12-4 所 示 ( 一 定 保证 /var 是 单独 的 分 区 ) 。 


# Jetc/fstab 
kK Created by anaconda on Thu Oct 4 02:02:22 2018 


# Accessible filesystems, by reference, are maintained under ' /dev/disk' 
FE See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info 


UID=634a6885- 5b84- 4748- a6b0- f40eel71dfd4 / ext4 defaults 


4 
UID=49a46bf9- bbdl - 4092- 901 b- e369c866389b /boot ext4 defaults 和 加 
dev/sda3 /home ext4 defaults, usrquota, grpquota 12 
kiUUID=<de95258- 0c9c- 403d- be4e- 20457f7b5605 /home ext4 defaults, usrquota, gr| 
pquota 12 
UID=6dc9746a- 39d9- 401e- 8d26- al dfl3c2ca61l /tmp ext4 defaults 4 
UID=cfa06027- d74b- 438c- 9674- 6b50e8646839 /usr ext4 defaults 4 
UID=10addd2- ec2a- 4244- 99d6- b266db23bfc5 /WE ext4 defaults 1 2 
UID0=826f5d3b- 922f- 4eee- aaal - 46e74e4Ceb5e Swap swap defaults 全 部 

11,31 


12-4 /etc/fstab 文件 


在 第 1 章 所 学 的 硬盘 分 区 中 已 经 考虑 了 独立 分 区 的 问题 ,这 样 保证 了 该 实 训 的 正常 进 
行 。 从 图 12-3 可 以 看 出 ,/var 已 经 自动 挂 载 了 。 
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@ 由 于 sda6 分 区 格式 为 ext4, 需 要 进行 一 定 的 设置 。 如 果 只 是 想 在 本 次 开机 中 实验 进 
行 磁盘 配额 设置 ,可 以 使 用 如 下 的 方式 手动 加 入 磁盘 配额 的 支持 , 若 需要 长 期 有 效 ,请 参看 
5. 3. 2 小 节 的 相关 内 容 。 


[root@ serverl ~ ]#mount ~ 0 remount,usrquota, grpquota /var 

[root@ serverl ~ J#mount|grep Var 

/dev/sda6 on /war type ext4 (rw, relatime, seclabel,quota,usrquota, grpquota, 
Gata= ordered) 

# 重 点 在 于 usrquota、 grpquota, 注 意 它们 的 写法 


usrquota 为 用 户 的 配额 参数 ,grpquota 为 组 的 配额 参数 。 保 存 并 退出 ,重新 启动 计算 
机 ,使 操作 系统 按照 新 的 参数 挂 载 文件 系统 。 


Wn 


[root@ serverl ~ ]#mount 


/dev/sda3 on /home type ext4 (rw,relatime,seclabel,quota,usrquota, grpquota, 
Gata= ordered) 

/dev/sdal on /boot type ext4 (rw,relatime, seclabel,data= ordered) 

/dev/sdal on /bm type ext4 (rw,relatime,seclabel,data= ordered) 

/dev/sda6 on /var type ext4 (rw,relatime, seclabel,quota,usrquota, grpquota, 
dater ordered) 

[root@ serverl ~ ]# quotacn -P /ver 

group quota on /var (/dev/sda6) is off 

user quota on /var (/dev/sda6) is off 


如 果 因 为 特殊 需求 而 强制 扫描 已 挂 载 的 文件 系统 时 ,语句 如 下 。 
[root@serverl ~ ]# quotacheck - avug ~ nf 
由 于 要 启动 user/group 的 quota, 所 以 使 用 下 面 的 语法 即 可 。 


[root@serverl ~ ]#quotacn -avg 
[root@ serverl ~ ]# quotacn -p /ver 
group quota on /var (/dev/sda6) is cn 
User quota cn /war (/dev/sda6) is on 


国 如 果 分 区 是 xfs, 默 认 自 动 开 启 磁盘 配额 功能 : usrquota、grpquota, 不 需要 上 
面 的 开启 quota 的 操作 ,直接 转 入 下 面 的 设置 磁盘 配额 操作 即 可 。 


注 意 


@ 设置 磁盘 配额 。 下 面 为 用 户 和 组 配置 详细 的 配额 限制 ,使 用 edquota 命令 进行 磁盘 
配额 的 设置 ,命令 格式 如 下 。 


edquota -u 用 户 名 


或 
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edquocta -g 组 名 
为 用 户 bob 配置 磁盘 配额 限制 ,执行 edquota 命令 ,打开 用 户 配 额 编辑 文件 ,如 下 所 示 
(userl 用 户 一 定 是 存在 的 Linux 系统 用 户 )。 


[root@ serverl ~ J]#edquota -uu userl 
Disk quotas for user userl (uid 1012): 


磁盘 配额 参数 含义 如 表 12-2 所 示 。 
表 12-2 磁盘 配额 参数 
列 名 解 释 
Filesystem 文件 系统 名 称 
blocks | 用 户 当 前 使 用 的 块 数 (磁盘 空间 ) ,单位 为 KB 
soft 可 以 使 用 的 最 大 磁盘 空间 。 可 以 在 一 段 时 期 内 超过 软 限制 的 规定 


可 以 使 用 的 磁盘 空间 的 绝对 最 大 值 。 达 到 该 限制 后 ,操作 系统 将 不 再 为 用 户 或 组 
分 配 磁盘 空间 


inodes | 用 户 当前 使 用 的 inode 节点 数 (文件 数 ) 
inodes soft 可 以 使 用 的 最 大 文件 数 。 可 以 在 一 段 时 期 内 超过 软 限制 的 规定 
hard 可 以 使 用 的 文件 数 的 绝对 最 大 值 。 达 到 了 该 限制 后 ,用 户 或 组 将 不 能 再 建立 文件 


blocks 


hard 


设置 磁盘 空间 或 者 文件 数 限制 ,需要 修改 对 应 的 soft、hard 值 ,而 不 要 修改 blocks 和 
inodes 值 ,根据 当前 磁盘 的 使 用 状态 ,操作 系统 会 自动 设置 这 两 个 字段 的 值 。 


国 如 果 soft 或 者 hard 值 设 置 为 0, 则 表示 没有 限制 。 
注意 


这 里 将 磁盘 空间 的 硬 限制 设置 为 100MB。 


[root@ serverl ~ J#edoquota ~ u userl 
Disk quotas for user bob (uid 1015): 


/dev/sda6 0 0 100000 1 


12.3 配置 Dovecot 服务 程序 


在 Postfix 服务 器 serverl 上 进行 基本 配置 以 后 ,Mail Server 就 可 以 完成 E-mail 的 邮件 
发 送 工作 。 但 是 如 果 要 使 用 POP3 和 IMAP 协议 接收 邮件 ,还 需要 安装 Dovecot 软件 包 , 说 
明 如 下 。 
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1. 安装 Dovecot 服务 程序 软件 包 
(1) 安装 POP3 和 IMAP。 


[root@serverl ~ ]#yum install dovecot ~-y 
[root@serverl ~ ]# Em - qa |grep dovecot 
dovecot- 2.2.10- 8.e17.x86 64 


(2) 启动 POP3 服务 ,同时 开放 POP3 和 IMAP 对 应 的 TCP 端口 110 和 143。 


[root@ serverl ~ ]# systemctl restart dovecot 

[root@ serverl ~ ]# systemctl enable dovecot 

[root@serverl ~ ]# firewall~ cmd -- Permanent -— add- port= 110/tcp 
[root@ serverl ~ ]# firewall- cmd -- Permenent —— add- port= 25/tcp 
[root@ serverl ~ ]# firewall~ cmd -- Permanent —— add- port= 143/tap 
[root@serverl ~ ]#firewall- amd -- reload 


(3) 测试 。 
使 用 netstat 命令 测试 是 否 开启 POP3 的 110 端口 和 IMAP 的 143 端口 ,代码 如 下 : 


[root@ serverl ~ ]#netstat - an| grep :110 


tcp 0 0 0.0.0.0:110 0.0.0.0:# LISTEN 
tcp6 0 OH0 ER LISTEN 
[root@ serverl ~ ]#netstat ~ an| grep :143 

tcp 0 0 0.0.0.0:143 0.0.0.0:*# LISTEN 
tcp6 0 0 :::143 村 了 IISTFN 


如 果 显 示 110 和 143 端口 开启 , 则 表示 POP3 以 及 IMAP 服务 已 经 可 以 正常 工作 了 。 


2. 配置 部 署 Dovecot 服务 程序 
(1) 在 Dovecot 服务 程序 的 主 配置 文件 中 进行 如 下 修改 。 首 先是 第 24 行 ,把 Dovecot 服务 
程序 支持 的 电子 邮件 协议 修改 为 imap .pop3 和 lmtp。 不 修改 也 可 以 ,默认 就 是 这 些 协 议 。 


[root@ serverl ~ ]# vim /etc/dovecot/dovecot. .oonf 
Protocols = imap pop3 lmtp 


(2) 在 主 配置 文件 中 的 第 48 行 设置 允许 登录 的 网 段 地 址 ,也 就 是 说 可 以 在 这 里 限制 只 有 来 
自 于 某 个 网 段 的 用 户 才 能 使 用 电子 邮件 系统 。 如 果 想 允许 所 有 人 都 能 使 用 ,修改 参数 为 : 


login trusted networks = 0.0.0.0/0 
也 可 修改 为 某 网 段 , 如 192. 168. 10. 0/24。 


本 字段 一 定 要 启用 ,否则 在 连接 TELNET 使 用 25 号 端口 收 邮 件 时 会 出 现 
国 以 下 错误 : 


注音 
注 意 — ERR [MTH] Plaintext authentication disallowed on nor secure (SSL/TLS) connections。 
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3. 配置 邮件 格式 与 存储 路 径 

在 Dovecot 服务 程序 单独 的 子 配 置 文件 中 定义 一 个 路 径 , 用 于 指定 将 收 到 的 邮件 存放 
到 服务 器 本 地 的 哪个 位 置 。 这 个 路 径 默认 已 经 定义 好 ,只 需要 将 该 配置 文件 中 第 24 行 前 面 
的 井 号 (# ) 删 除 即 可 。 


[root@serverl ~ ]# vim /etc/dovecot/conf.d/10- mil.conf 
mail location=mbox:~ /mail:INBOX= /var/mail/%u 


4. 创建 用 户 , 建 立 保存 邮件 的 目录 
以 创建 userl 和 user2 为 例 。 创 建 用户 完 成 后 ,建立 相应 用 户 保存 邮件 的 目录 (这 是 必 
需 的 ,否则 容易 出 错 。)。 至 此 ,对 Dovecot 服务 程序 的 配置 就 全 部 完成 了 。 


[root@serverl ~ ]# useradd userl 
[root@serverl ~ ]# useracd user2 
[root@serverl ~ ]#passwd userl 
[root@ serverl ~ ]#passwd user2 
[root@serverl ~ ]#mkiir -p .imep/INECOK 
[root@ serverl ~ ]#mkdiir -p /home/user2/mail/.imp/INEK 


12.4 配置 一 个 完整 的 收发 邮件 服务 器 并 测试 


Postfix 电子 邮件 服务 器 和 DNS 服务 器 的 地 址 为 192. 168. 10. 1 ,利用 Telnet 命令 完成 
邮件 地 址 为 user3@1long. com 的 用 户 向 邮件 地 址 为 user4@1long. com 的 用 户 发 送 主题 为 
“The first mail: user3 TO user4” 的 邮件 ,同时 使 用 telnet 命令 从 IP 地 址 为 192. 168. 10. 1 
的 POP3 服务 器 接收 电子 邮件 。 


1. 任务 分 析 

当 Postfix 服务 器 搭建 完成 之 后 ,应 该 尽快 保证 服务 器 的 正常 使 用 。 一 种 快速 有 效 的 测 
试 方法 是 使 用 telnet 命令 直接 登录 服务 器 的 25 端口 ,并 收发 信件 以 及 对 Postfix 服务 器 进 
行 测试 。 

在 测试 之 前 ,首先 要 确保 Telnet 的 服务 器 端 软件 和 客户 端 软件 已 经 安装 (分 别 在 
serverl 和 clientl 上 安装 ,后 面 不 再 一 一 分 述 ) 。 为 了 避免 原来 的 设置 影响 本 次 实 训 ,建议 将 
计算 机 恢复 到 初始 状态 。 


2. 在 Serverl 上 安装 DNS Postfix .Dovecot 和 Telnet 并 启动 
(1) 安装 DNS,Postfix、Dovecot 和 Telnet。 


[root@ serverl ~ ]#mkdir /iso 

[root@ serverl ~ ]#mount /dev/odram /iso 

[root@serverl ~ ]# yum clean all /安装 前 先 清除 缓存 
[root@ serverl ~ ]# yum install bind postfix dovecot telnet- server telnet ~-y 
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(2) 打开 SELinux 有 关 的 布尔 值 ,在 防火 墙 中 开放 DNS、SMTP 服务 。 


[root@serverl ~ ]# setsebool - P allow postfix local write mail spool cn 
[root@serverl ~ ]# firewall- cmd -- Permanent —— add- service= dns 

[root@ serverl ~ ]# firewall- cmd -- Permanent —— add- service= smtp 
[root@serverl ~ ]# firewall- cmd -- Permanent -- add- service= telnet 
[root@serverl ~ ]# firewall- cmd -- reload 


(3) 启动 POP3 服务 ,同时 开放 POP3 和 IMAP 对 应 的 TCP 端口 110 和 143。 


[root@ serverl ~ ]# firewall~ amd -- Permanent —— add- port= 110/tap 
[root@serverl ~ ]# firewall~ cmd -~ permenent. -— add- port= 25/tcp 
[root@ serverl ~ ]# firewall- cmd -~ Permanent —— add- port= 143/tcp 
[root@serverl ~ ]# firewall- cmd -- reload 


3. 在 Serverl 上 配置 DNS 服务 器 ,设置 MX 资源 记录 

配置 DNS 服务 器 ,并 设置 虚拟 域 的 MX 资源 记录 。 具 体 步骤 如 下 。 

(1) 编辑 修改 DNS 服务 的 主 配 置 文件 ,添加 long. com 域 的 区 域 声明 (options 部 分 省 
略 , 按 常规 配置 即 可 ) 。 


[root@ serverl ~ ]# vim /etc/nemed.conf 
zone "long.oom" IN { 

type master; 

file "Jong.cam.2one"; }; 


zone "10.168.192.in- addr.arpa" IN { 

type master; 

file 1 .10.168.192.2one"; 
»; 
# include "/etc/named.z2cnes"; 


注释 掉 include 语句 ,免得 受 影响 。 因 为 本 例 在 named. conf 中 直接 写 入 域 的 声明 ,也 就 
是 已 将 named. conf 和 named. zones 合 二 为 一 。 


(2) 编辑 long. com 区 域 的 正 向 解析 数据 库 文件 。 


[root@ serverl ~ ]# vim /var/nemed/long.cam.z2cne 


$TILID 

@ IN SA log.om. root.long.om. ( 
2013120800 7 serial 
DD 7 refresh 
1H 7 retry 
wm 7 expire 
3H) 7 minimm 

@ NN dns.long.ccm。 

@ Nm 10 mail .long.om. 
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(3) 编辑 long. com 区 域 的 反 向 解析 数据 库 文件 。 


(4) 利用 下 面 的 命令 重新 启动 DNS 服务 ,使 配置 生效 。 


4. 在 Serverl 上 配置 邮件 服务 器 
先 配置 /etc/postfix/main. cf ,再 配置 Dovecot 服务 程序 ( 详 见 12. 3 节 ) 。 
(1) 配置 /etc/postfix/main. cf 


(2) 配置 dovecot. conf 


> Ta6 | < 
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(3) 配置 邮件 格式 和 路 径 , 建 立 邮件 目录 


root@ serverl ~ ]# vim /etc/dovecot/conf.d/10-mail .conf 
mail location =mbox:~ /mail:INBOX= /var/mail/su 

root@ serverl ~ ]# useradd user3 

[root@serverl ~ ]# useracdd user4 

root@ serverl ~ ]#passwd user3 

[root@serverl ~ ]#passwd user4 

root@serverl ~ ]#mkdir ~-p /hame/user3/mail/.imep/INECX 
root@serverl ~ ]#mkdir ~-p /home/user4/mail/,imep/INBCK 


(4) 启动 各 种 服务 ,配置 防火 墙 


root@serverl ~ ]# systemctl] restart Postfix 
root@serverl ~ ]# systemctl] restart nemed 
root@serverl ~ ]# systemctl restart dovecot 
root@serverl ~ ]# systemctl enable postfix 

root@ serverl ~ ]# systemctl enable dovecot 

root@ serverl ~ ]# systemctl enable nemed 

root@serverl ~ ]# setsebool - P allow postfix local write mil spool cn 


5. 在 Clientl 上 使 用 Telnet 发 送 邮件 
使 用 Telnet 发 送 邮 件 (在 Clientl 客户 端 测试 ,确保 DNS 服务 器 的 设置 为 192. 168. 10. 1)。 
(1) 在 Clientl 上 测试 DNS 是 否 正 常 ,这 一 步 至 关 重 要 。 


[root@clientl ~ ]# vim /etc/resclv.conf 
nameserver 192.168.10.1 

[root@clientl ~ J]#nslookp 

> set type= MX 

> long.com 

Server: 192.168.10.1 

Dddress: 192.168.10.]#53 


long.om mail exchanger = 10 mail.long.cam. 


>exit 
(2) 在 Clientl 上 依次 安装 Telnet 所 需 软件 包 。 


[root@Client] ~ ]#1Fm - qlgrep telnet 


[root@Client] ~ ]#yum install telnet- server -Y // 安 装 Telnet 服务 器 软件 
[rooteclientl ~ ]#yum install telnet ~-y // 安 装 Telnet 客户 端 软件 
[rooteclientl ~ ]#1Fm - qalgrep telnet // 检 查 安装 组 件 是 否 成 功 


telnet- server- 0.17- 64.e17.x86 64 
telnet- 0.17- 64.e17.x86 64 


(3) 在 Clientl 客户 端 测试 。 
[rocteclientl ~ ]#telnet 192.168.10.1 25 ”// 利 用 telnet 命 令 连接 邮件 服务 器 的 25 端 口 


Trying 192.168.10.1... 
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Connected to 192.168.10.1. 

Escape character is "~^]'. 

220 mail.long.com ESMIP Postfix 

helo long.om // 利 用 helo 命 令 向 邮件 服务 器 表明 身份 ,注意 不 是 hello 

mail from:"test"< user381cng.car> // 设 置信 件 标题 以 及 发 信人 地 址 。 其 中 信件 标题 
/为 test, 发 信人 地 址 为 clientlesmile.cam 


250 2.1.0 Ok 
rcpt to:userd@ long.cam // 利 用 rcpt to 命令 输入 收 件 人 的 邮件 地 址 

250 2.1.5 Ok 

data //cata 表 示 要 求 开 始 写 信件 内 容 。 当 输入 完 cata 指 令 


// 后 ,会 提示 以 一 个 单行 的 " "结束 信件 
354 End data with <CR><IE> .< CR> <IE> 


The first mail: user3 TO user4 // 信 件 内 容 

//". " 古 示 结束 信件 内 容 。 千 万 不 要 忘记 输入 "."。 
250 2.0.0 Ok: queued as 456EF25F 

qit // 退 出 telnet 命 令 

221 2.0.0 Bye 


大 家 一 定 已 经 注意 到 ,每 当 输入 指令 后 ,服务 器 总 会 回应 一 个 数字 代码 ,熟知 这 些 代码 
的 含义 对 于 判断 服务 器 的 错误 是 很 有 帮助 的 。 下 面 介绍 常见 的 回应 代码 以 及 相关 含义 ,如 
表 12-3 所 示 。 
表 12-3 邮件 回应 代码 

回应 代码 说 明 回应 代码 说 明 

220 表示 SMTP 服务 器 开始 提供 服务 500 表示 SMTP 语法 错误 ,无 法 执行 指令 

250 表示 命令 指定 完毕 ,回应 正确 501 表示 指令 参数 或 引述 的 语法 错误 

354 可 以 开始 输入 信件 内 容 , 并 以 “. "结束 502 表示 不 支持 该 指令 


6. 利用 telnet 命令 接收 电子 邮件 


[root@Clientl ~ ]#telnet 192.168.10.1 110 // 利 用 telnet 命 令 连接 邮件 服务 器 110 端 口 
Trying 192.168.10.1... 

Connected to 192.168.10.1. 

Escape character is '^]'. 

+ CK Dovecot ready. 


User user4 // 利 用 user 命 令 输入 用 户 的 用 户 名 为 user4 

十 OK 

Pass 12345678 // 利 用 pass 命 令 输入 user4 账 户 的 密码 为 12345678 

+ OK Iogged in. 

list // 利 用 list 命 令 获 得 user4 账 户 邮箱 中 各 邮件 的 编号 

十 CK 1 messages: 

1291 

retr1 // 利 用 retr 命 令 收 取 邮 件 编号 为 1 的 邮件 信息 ,下 面 各 行为 邮件 信息 


278 


作 。 


第 12 章 电子 邮件 服务 器 配置 图 


十 OK 29]1 octets 

Retum- Path: < user3@long.cam> 

XX- Original— To: user4@1ong.om 

Delivered- To: user46@lcng-com 

Received: fram long-com (unknown [192.168.10.20]) 

by mail.1long.cam (Postfix) with SMTP id FEF4RD25F 

for <user48@lcng.comy ; Sat, 4 mug 2018 22:33:23 + 0800 (CST) 


The first mail: user3 TO user4 


qit // 退 出 telnet 命令 
+ OK Iogging out. 


Connection closed by foreign host. 


telnet 命令 包括 以 下 命令 ,其 命令 格式 及 详细 功能 说 明 如 下 。 

。 stat 命令 不 带 参数 ,对 于 此 命令 ,POP3 服务 器 会 响应 一 个 正确 应 答 , 此 响应 为 一 个 
单行 的 信息 提示 ,以 “十 OK” 开 头 , 接 着 是 两 个 数字 ,第 一 个 是 邮件 数目 ,第 二 个 是 邮 
件 的 大 小 ,如 : 十 OK 4 1603。 

list 命令 的 参数 是 可 选 参数 ,格式 为 list[n]。n 是 一 个 数字 ,表示 邮件 在 邮箱 中 的 编 
号 。 可 以 利用 不 带 参数 的 list 命令 获得 各 邮件 的 编号 ,并 且 每 一 封 邮件 均 占 用 一 行 
显示 ,前 面 的 数字 为 邮件 的 编号 ,后 面 的 数字 为 邮件 的 大 小 。 

uidl 命令 格式 为 uidlLn] ,该 命令 与 list 命令 用 途 相似 ,只 不 过 uidl 命令 显示 邮件 的 
信息 比 list 命令 更 详细 ,更 具体 。 

retr 命令 是 接收 邮件 中 最 重要 的 一 条 命令 , 它 的 作用 是 查看 邮件 的 内 容 , 它 必须 带 参 
数 运行 ,格式 为 retr n,n 为 邮件 编号 。 该 命令 执行 后 ,服务 器 应 答 的 信息 比较 长 ,其 
中 包括 发 件 人 的 电子 邮箱 地 址 、 发 件 时 间 、 邮 件 主题 等 ,这 些 信息 统称 为 邮件 头 , 紧 
接 在 邮件 头 之 后 的 信息 便 是 邮件 正文 。 

dele 命令 是 用 来 删除 指定 的 邮件 (注意 ,dele n 命令 只 是 给 邮件 做 上 删除 标记 ,只 有 
在 执行 quit 命令 之 后 ,邮件 才 会 真正 删除 ) 。 

top 命令 有 两 个 参数 ,例如 : top n m。 其 中 为 邮件 编号 ;m 是 要 读 出 邮件 正文 的 行 
数 , 如 果 m 二 0, 则 只 读 出 邮件 头 部 分 。 

。 noop 命令 发 出 后 ,POP3 服务 器 返回 一 个 表示 操作 正确 的 响应 "十 OK”。 

。 quit 命令 发 出 后 ,telnet 断 开 与 服务 器 的 连接 ,系统 进入 更 新 状态 。 


7. 用 户 邮 件 目录 /var/spool/mail 
可 以 在 邮件 服务 器 Serverl 上 进行 用 户 邮 件 的 查看 ,确保 邮件 服务 器 已 经 在 正常 工 
Postfix 在 /var/spool/mail 目录 中 为 每 个 用 户 分 别 建立 单独 的 文件 用 于 存放 每 个 用 户 


的 邮件 ,这 些 文件 的 名 字 和 用 户 名 是 相同 的 。 例 如 ,邮件 用 户 user3@long. com 的 文件 是 


user3 。 


[root@serverl ~ ]#1s /var/spool/mail 
User3 user4 root 
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8. 邮件 队列 

邮件 服务 器 配置 成 功 后 ,就 能 够 为 用 户 提 供 E-mail 的 发 送 服务 了 ,但 如 果 接 收 这 些 邮 
件 的 服务 器 出 现 了 问题 ,或 者 因为 其 他 原因 导致 邮件 无 法 安全 到 达 目 的 地 ,而 发 送 的 SMTP 
服务 器 又 没有 保存 邮件 ,这 封 邮件 就 可 能 会 失踪 。 不 论 是 谁 都 不 愿意 看 到 这 样 的 情况 出 现 ， 
所 以 Postfix 采用 了 邮件 队列 来 保存 这 些 发 送 不 成 功 的 信件 ,而且 服 务 器 会 每 隔 一 段 时 间 重 
新 发 送 这 些 邮 件 。 通 过 mailq 命令 可 以 查看 邮件 队列 的 内 容 。 


[root@serverl ~ J#milq 


如 果 邮 件 队 列 中 有 大 量 的 邮件 ,那么 请 检查 邮件 服务 器 是 否 设置 不 当 , 或 者 被 当 作 了 转 
发 邮件 服务 器 。 


12.5 使 用 Cyrus-SASL 实现 SMTP 认证 


无 论 是 本 地 域内 的 不 同 用户 还 是 本 地 域 与 远程 域 的 用 户 , 要 实现 邮件 
通信 ,都 要 求 邮件 服务 器 开启 邮件 的 转发 功能 。 为 了 避免 邮件 服务 器 成 为 
各 类 广告 与 垃圾 信件 的 中 转 站 和 集结 地 ,对 转发 邮件 的 客户 端 进行 身份 认 上 晤 
证 (用 户 名 和 密码 ) 是 非常 必要 的 。SMTP 认证 机 制 通常 通过 Cryus SASL 辆 凡 
包 进 行 验证 。 

例如 : 建立 一 个 能 够 实现 SMTP 认证 的 服务 器 ,邮件 服务 器 和 DNS 服务 器 的 IP 地 址 
是 192. 168. 10. 1 ,客户 端 clientl 的 IP 地 址 是 192. 168. 10. 20, 系 统 用 户 是 user3 和 user4， 
DNS 服务 器 的 配置 沿用 12. 4 节 中 的 相关 内 容 。 具 体 配 置 步骤 如 下 。 


1. 编辑 认证 配置 文件 
(1) 安装 并 启动 cyrus-sasl 软件 


[root@serverl ~ ]# Yum install cyrus- sasl -y 
[root@ serverl ~ ]# systemct] restart saslauthd 


(2) 查看 、 选 择 、 启 动 和 测试 所 选 的 密码 验证 方式 


[root@serverl ~ ]# saslauthd 一 六 // 查 看 支持 的 密码 验证 方法 
saslauthd 2.1.26 

authentication mechanisms: getpwent kerberos5 Pam rimap shadow ldap htbpform 
[root@mail ~ ]#vim /etc/sysccnfig/saslauthd 。“// 将 密码 认证 机 制 修改 为 shacow 


McH-shadow ”// 第 7 行 :指定 对 用 户 及 密码 的 验证 方式 ,由 pam 改 为 shadow, 本 地 用 户 认证 
[root@serverl ~ ]#ps aux | grep saslauthd // 查 看 saslauthd 进 程 是 否 已 经 运行 

To 5253 0.0 0.0 112664 972 pts/0 St+ 16:15 0:00 grep — oolor=auto saslavthd 

// 开 启 SELinux 人 允许 saslauthd 程 序 读 取 /etc/shadow 文 件 

[root@serverl ~ ]# setsebool - P allow saslauthd read shadow cn 

[roct@serverl ~ 于 testsaslauthd -uuser3 -p "12%56RB' // 测 试 saslautihd 的 认证 功能 

0:OK "Sucoess." /| 表示 saslautha 的 认证 功能 已 起 作用 


280 | 一 


第 12 章 电子 邮件 服务 器 配置 图 
(3) 编辑 smtpd. conf 文件 ,使 Cyrus-SASL 支持 SMTP 认证 


[root@ serverl ~ ]#vim /etc/sasl2/smtpd.conf 


es esl a // 记 录 log 的 模式 
saslauthd path:/run/saslauthd/mm // 设 置 Sr 寻找 cyrus- sasl 的 路 径 


2. 编辑 main. cf 文件 ,使 Postfix 支持 SMTP 认证 
(1) 默认 情况 下 ,Postfix 并 没有 启用 SMTP 认证 机 制 。 要 让 Postfix 启用 SMTP 认证 ， 
就 必须 在 main. cf 文件 中 添加 如 下 配置 行 : 


[root@ serverl ~ ]# vim /etc/postfix/main.cf 


smbpd sasl auth enable =yes // 启 用 sasL 作 为 smP 认 证 

smbpd sasl security qpticns =ncancnymous 。”// 上 禁止 采用 匿名 登录 方式 

broken sasl auth clients =yes // 匣 容 早期 非 标准 的 sre 认 证 协议 如 og4.x) 
smtpd recipient restrictions =Permit sasl authenticated, reject unauth 

destination /已 认证 的 网 络 允 许 , 没 有 认证 的 网 络 拒绝 


最 后 一 句 设置 基于 收 件 人 地 址 的 过 滤 规 则 ,允许 通过 了 SASL 认证 的 用 户 向 外 发 送 邮 
件 ,拒绝 不 是 发 往 默认 转发 和 默认 接收 的 连接 。 
(2) 重新 载 人 Postfix 服务 ,使 配置 文件 生效 (防火 墙 、 端 口 .SELinux 设置 同 12. 4 节 ) 


[root@ serverl ~ ]#postfix check 
[root@ serverl ~ ]#postfix reload 
[root@ serverl ~ ]# systemctl restart saslauthd 
[root@ serverl ~ ]# systemct] enable saslauthd 


3. 在 客户 端 clientl 上 测试 普通 发 信 验 证 


[rooteclientl ~ ]#telnet mil.long.com 25 
Trying 192.168.10.1... 


rcpt to:68433059%8 qq.com 
554 5.7.1 < 63433059@qq.cm> : Relay access denied ”// 未 认证 ,所 以 拒绝 访问 ,发 送 失 败 


4. 字符 终端 测试 Postfix 的 SMTP 认证 (使 用 域名 来 测试 ) 
(1) 由 于 前 面 采 用 的 用 户 身份 认证 方式 不 是 明文 方式 ,所 以 首先 要 通过 printf 命令 计算 
出 用 户 名 和 密码 的 相应 编码 。 


2T 1] 


(2) 字符 终端 测试 认证 并 发 信 


5. 在 客户 端 启用 认证 支持 

当 服 务 器 启用 认证 机 制 后 ,客户 端 也 需要 启用 认证 支持 。 以 Outlook 2010 为 例 ,在 
图 12-5 的 窗口 中 一 定 要 选中 “我 的 发 送 服务 器 (SMTP) 要 求 验 证 ”选项 ,否则 ,不 能 向 其 他 邮 
件 域 的 用 户 发 送 邮 件 , 而 只 能 给 本 域内 的 其 他 用 户 发 送 邮 件 。 
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| Be 
贺 我 的 发 送 服务 器 GMTP) 要 求 验证 0) 

图 使 用 与 接收 邮件 服务 器 相同 的 设置 0 

由 登录 使 用 0) 
| 
密 有 中) | 


发 送 服 


记 住 密码 RR) 
占 要 求 安全 密码 验证 GPA) @) 


个 发 送 邮 件 前 请 先 登录 接收 邮件 服务 器 CI) 


图 12-5 在 客户 端 启用 认证 支持 


12.6 练习 题 
一 、 填 空 题 
1. 电子 邮件 地 址 的 格式 是 user@RHEL6. com。 一 封 完整 的 电子 邮件 由 3 部 分 组 成 ， 
第 1 部 分 代表 ,第 2 部 分 是 分 隔 符 , 第 3 部 分 是 。 
2. Linux 系统 中 的 电子 邮件 系统 包括 3 个 组 件 : 、 和 
3. 常用 的 与 电子 邮件 相关 的 协议 有 机 和 
4. SMTP 工作 在 TCP 协议 上 的 默认 端口 为 ,POP3 默认 工作 在 TCP 协议 的 
端口 。 
二 、 选 择 题 
1. 用 来 将 电子 邮件 下 载 到 客户 机 的 协议 是 ( jw 
A. SMTP B. IMAP4 C. POPS D. MIME 
2. 利用 Access 文件 设置 邮件 中 继 需 要 转换 access. db 数据 库 , 要 使 用 命令 (  ”)。 
A. postmap B. m4 C. access D. macro 
3. 用 来 控制 Postfix 服务 器 邮件 中 继 的 文件 是 ( »s 
A. main. cf B. postfix. cf C. postfix. conf D. access. db 
4. 邮件 转发 代理 也 称 邮件 转发 服务 器 ,可 以 使 用 SMTP, 也 可 以 使 用 (  ”)。 
A. PTIP B, TCP C. UUCP DD, POP 
5. 不 是 邮件 系统 的 组 成 部 分 的 是 ( Ye 
A. 用 户 代 理 B. 代理 服务 器 C. 传输 代理 D. 投递 代理 
6. Linux 下 可 用 的 MTA 服务 器 是 ( ss 
A. Postfix B. Qmail C. Imap D. Sendmail 
7. Postfix 常用 的 MTA 软件 有 ( ”)。 
A. sendmail B. postfix C. qmail D. exchange 


8. Postfix 的 主 配 置 文 件 是 ( We 
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A. postfix. cf B. main. cf C. access D. local-host-name 
9. Access 数据 库 中 的 访问 控制 操作 有 (  )。 

A. OK B. REJECT C. DISCARD 也 RELAY 
10. 默认 的 邮件 别名 数据 库 文件 是 ( ) 。 

A. /etc/names B. /etc/aliases 

C. /etc/postfix/aliases D. /etc/hosts 
三 、 简 述 题 


1. 简 述 电子 邮件 系统 的 构成 。 

2. 简 述 电子 邮件 的 传输 过 程 。 

3. 电子 邮件 服务 与 HTTP、FTP、NFS 等 程序 的 服务 模式 最 大 的 区 别 是 什么 ? 
4. 电子 邮件 系统 中 MUA、MTA 、MDA 3 种 服务 角色 的 用 途 分 别 是 什么 ? 

5. 能 否 让 Dovecot 服务 程序 限制 允许 连接 的 主机 范围 ? 

6. 如何 定义 用 户 别 名 信箱 以 及 让 其 立即 生效 ? 如 何 设置 群发 邮件 。 


12.7 项 目 实录 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 实 训 目 的 及 内 容 

。 能 熟练 完成 企业 POP3 邮件 服务 器 的 安装 与 配置 。 
。 能 熟练 完成 企业 SMTP 邮件 服务 器 的 安装 与 配置 。 
。 能 熟练 进行 邮件 服务 器 的 测试 。 


3. 项 目 背景 与 任务 

企业 需求 : 企业 需要 构建 自己 的 邮件 服务 器 供 员 工 使 用 ;本 企业 已 经 申请 了 域名 long. 
com, 要 求 企业 内 部 员工 的 邮件 地 址 为 username@1long. com 格式 。 员 工 可 以 通过 浏览 器 或 
者 专门 的 客户 端 软件 收发 邮件 。 

任务 : 假设 邮件 服务 器 的 IP 地 址 为 192. 168. 1. 2, 域 名 为 mail. long. com。 请 构建 
POP3 和 SMTP 服务 器 ,为 局 域 网 中 的 用 户 提供 电子 邮件 服务 ;邮件 要 能 发 送 到 Internet 
上 ,同时 Internet 上 的 用 户 也 能 把 邮件 发 到 企业 内 部 用 户 的 邮箱 中 。 

4. 做 一 做 

根据 项 目 视频 进行 实 训 , 检 查 学 习 效 果 。 


12.8 实 训 ; 电子 邮件 服务 器 的 配置 


1. 实 训 目的 及 内 容 
(1) 掌握 Sendmail 服务 器 的 安装 与 配置 。 
(2) 掌握 Postfixl 的 安装 、 配 置 与 管理 。 


> Ta84 | < 
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2. 实 训 环境 

在 VMware 虚拟 机 中 启动 3 台 Linux 服务 器 ,一 台 作 为 DNS 服务 器 ,一 台 作 为 Postfix 
邮件 服务 器 ,一 台 作 为 客户 机 。DNS 服务 器 负责 解析 的 域 为 long. com,Postfix 服务 器 是 
long. com 域 的 邮件 服务 器 。 


3. 实 训练 习 

假设 邮件 服务 器 的 IP 地 址 为 192. 168. 0. 3 ,域名 为 mail. smile. com, 请 构建 POP3 和 
SMTP 服务 器 ,为 局 域 网 中 的 用 户 提供 电子 邮件 服务 ;邮件 要 能 发 送 到 Internet 上 ,同时 
Internet 上 的 用 户 也 能 把 邮件 发 到 企业 内 部 用 户 的 邮箱 中 。 设 置 邮箱 的 最 大 容量 为 
100MB ,收发 邮件 的 最 大 容量 为 20MB, 并 提供 反 垃 圾 邮件 功能 。 


4. 实 训 报 告 
按 要 求 完成 实 训 报告 。 
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第 13 章 
配置 防火 墙 与 代理 服务 需 


防火 墙 是 一 种 非常 重要 的 网 络 安 全 工具 ,利用 防火 墙 可 以 保护 企业 内 部 网 
络 免 受 外 网 的 威胁 。 作 为 网 络 管理 员 ,掌握 防火 墙 的 安装 与 配置 非常 重要 。 本 
章 重点 介绍 iptables 和 squid 两 类 防火 墙 的 配置 。 


学 习 要 点 


。 防火 墙 的 分 类 及 工作 原理 。 
(9 。 iptables 防火 墙 的 配置 。 
firewalld 防火 墙 的 配置 。 
A 


。 squid 代理 服务 器 的 配置 。 
透明 代理 的 实现 。 


13.1 防火 墙 概述 


防火 墙 的 本 义 是 指 一 种 防护 建筑 物 。 古 代 建 造 木质 结构 房屋 时 ,为 防止 火灾 的 发 生 和 
蔓延 ,人 们 在 房屋 周围 用 石 块 堆砌 成 石 墙 ,这 种 防护 构筑 物 就 称 为 防火墙。 


13.1.1 认识 防火 墙 


通常 所 说 的 网 络 防火 墙 套用 了 古代 防火 墙 的 喻 义 , 它 指 的 是 隔离 本 地 
网 络 与 外 界 网 络 之 间 联 系 的 一 道 防御 系统 。 防 火 墙 可 以 使 企业 内 部 局 域 配 
网 与 Internet 之 间或 者 与 其 他 外 部 网 络 间 互相 隔离 .限制 网 络 互 访 ,以 此 
保护 内 部 网 络 的 安全 。 

防火 墙 通常 具备 以 下 几 个 特点 。 

(1) 位置 权威 性 。 在 网 络 规划 中 ,防火 墙 必须 位 于 网 络 的 主干 线路 。 只 有 当 防火 墙 是 
内 、 外 部 网 络 之 间 唯 一 的 通道 时 , 才 可 以 全 面 有 效 地 保护 企业 内 部 的 网 络 安全 。 

(2) 检测 合法 性 。 防 火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,只 有 满足 防火 墙 策 
略 的 数据 包 才能 够 进行 转发 。 

(3) 性 能 稳定 性 。 防 火 墙 处 于 网 络 边缘 , 它 是 连接 网 络 的 唯一 通道 ,时 刻 都 会 经 受 网 络 
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入 侵 的 考验 ,所 以 其 稳定 性 对 于 网 络 安全 至 关 重 要 。 

防火 墙 的 分 类 方法 多 种 多 样 , 从 传统 意义 上 讲 , 防 火 墙 大 致 可 以 分 为 三 大 类 ,分 别 是 “ 包 
过 滤 ”“ 应 用 代理 ”和 “状态 检测 ”, 无 论 防火 墙 的 功能 多 么 强大 ,性 能 多 么 完善 ,归根 结 底 都 是 
在 这 3 种 类 别 的 基础 上 进行 功能 扩展 的 。 


13. 1.2 iptables 与 firewalld 


对 于 Linux 服务 器 而 言 ,采用 netfilter/iptables 数据 包 过 滤 系 统 , 能 够 节约 软件 成 本 ,并 
可 以 提供 强大 的 数据 包 过 滤 控 制 功能 ,iptables 是 理想 的 防火 墙 解决 方案 。 

在 CentOS 7 系统 中 ,firewalld 防火 墙 取 代 了 iptables 防火 墙 。 现 实 中 ,iptables 与 
firewalld 都 不 是 真正 的 防火 墙 ,它们 都 只 是 用 来 定义 防火 墙 策略 的 防火 墙 管理 工具 ,或 者 
说 ,它们 只 是 一 种 服务 。iptables 服务 是 把 配置 好 的 防火 墙 策略 交 由 内 核 层 面 的 netfilter 网 
络 过 滤器 来 处 理 , 而 firewalld 服务 则 是 把 配置 好 的 防火 墙 策略 交 由 内 核 层 面 的 nftables 包 
过 滤 框 架 来 处 理 。 换 句 话 说 ,当前 在 Linux 系统 中 其 实 存在 多 个 防火 墙 管理 工具 , 旨 在 方便 
运 维 人 员 管 理 Linux 系统 中 的 防火 墙 策略 ,用 户 只 需要 配置 妥当 其 中 的 一 个 就 足够 了 。 虽 
然 这 些 工具 各 有 优 劣 ,但 它们 在 防火 墙 策略 的 配置 思路 上 是 一 致 的 。 


13.2 配置 iptables 防火 墙 


13.2.1 安装 .启动 iptables 


1. 检查 iptables 是 否 已 经 安装 ,没有 安装 则 使 用 yum 命令 安装 
从 RHEL 7 开始 ,iptables 已 经 不 是 默认 的 防火 墙 配置 软件 了 , 它 已 经 被 firewalld 所 替 
代 。 如 果 还 要 配置 iptables ,请 一 定安 装 iptables-services 软件 ,否则 无 法 使 用 iptables 。 


[root@serverl ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@ serverl ~ ]# yum install iptables iptables- services -Y 


2. iptables 服务 的 启动 ,停止 、 重 新 启动 、 随 系统 启动 
默认 状态 下 ,firewalld 服务 是 启动 的 , 需 先 停止 firewalld 服务 后 再 启动 iptables。 


[root@ serverl ~ ]# systemct] status firewalld 
[root@ serverl ~ ]# systemct] status iptables 
[root@ serverl ~ ]# systemct] stop firewalld 
[root@ serverl ~ ]# systemct] start iptables 
[root@ serverl ~ ]# systemct] enable iptables 


13.2.2 配置 iptables 规则 


1. 查看 iptables 规则 
查看 iptables 规则 的 命令 格式 如 下 。 


iptables  [-t 表 名 ] - 工 链 名 
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【 例 13-1】 查看 nat 表 中 所 有 链 的 规则 。 


【 例 13-2】 查看 filter 表 中 FORWARD 链 的 规则 。 


2. 添加 删除、 修改 规则 
【 例 13-3】 为 filter 表 的 INPUT 链 添加 一 条 规则 ,规则 为 拒绝 所 有 使 用 ICMP 协议 的 
数据 包 。 


【 例 13-4】 为 filter 表 的 INPUT 链 添加 一 条 规则 ,规则 为 允许 访问 TCP 协议 的 80 端 
口 的 数据 包 通 过 。 


【 例 13-5】 在 filter 表 中 INPUT 链 的 第 二 条 规则 前 插入 一 条 新 规则 ,规则 为 不 允许 访 
问 TCP 协议 的 53 端口 的 数据 包 通 过 。 
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【 例 13-6】 在 filter 表 中 INPUT 链 的 第 一 条 规则 前 插入 一 条 新 规则 ,规则 为 允许 源 IP 
地 址 属于 172. 16. 0. 0/16 网 段 的 数据 包 通 过 。 


【 例 13-7】 删除 filter 表 中 INPUT 链 的 第 二 条 规则 。 


当 某 条 规则 过 长 时 ,可 以 使 用 数字 代码 进行 简化 操作 ,如 下 所 示 。 
使 用 -line -n 参数 查看 规则 代码 。 


直接 使 用 规则 代码 进行 删除 
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mm target prot opt source Gestination 
1 aEPr all —— 172.16.0.0/16 0.0.0.0/0 
2 ACOEPF top 一 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 


【 例 13-8】 清除 filter 表 中 INPUT 链 的 所 有 规则 。 


[root@serverl ~ ]# iptables -了 INEOT 

# 查 看 规则 列表 

[root@ server ~ ]# iptables —L INEUT 

Chain INEUT (policy DROP) 

target Prot opt ”source Gestinaticn 


13.3 使 用 firewalld 服务 


CentOS 7 系统 中 集成 了 多 款 防 火 墙 管理 工具 ,其 中 firewalld (Dynamic Firewall 
Manager of Linux Systems,Linux 系统 的 动态 防火 墙 管理 器 ) 服 务 是 默认 的 防火 墙 配 置 管 
理工 具 , 它 拥有 基于 CLI( 命 令 行 界面 ) 和 基于 GUI( 图 形 用 户 界面 ) 两 种 管理 方式 。 

相 较 于 传统 的 防火 墙 管理 配置 工具 ,firewalld 支持 动态 更 新 技术 并 加 入 了 区 域 (zone) 的 概 
念 。 简 单 来 说 ,区 域 就 是 firewalld 预先 准备 了 几 套 防火 墙 策略 集合 (策略 模板 ) ,用户 可 以 根据 
生产 场景 的 不 同 而 选择 合适 的 策略 集合 ,从 而 实现 防火 墙 策略 之 间 的 快速 切换 。 例 如 ,你 有 一 
台 笔 记 本 电脑 ,每 天 都 要 在 办 公 室 咖啡 厅 和 家 里 使 用 。 按 常理 来 讲 , 这 三 者 的 安全 性 按照 由 
高 到 低 的 顺序 来 排列 ,应 该 是 家 庭 , 公 司 办 公 室 咖啡 厅 , 你 希望 为 这 台 笔 记 本 电脑 指定 如 下 防 
火 墙 策略 规则 : 在 家 中 允许 访问 所 有 服务 ;在 办 公 室内 仅 允 许 访问 文件 共享 服务 ;在 咖啡 厅 仅 
允许 上 网 浏览 。 以 前 ,我 们 需要 频繁 手动 设置 防火 墙 策略 规则 ,而 现在 只 需要 预 设 好 区 域 集 
合 ,然后 轻 点 鼠标 就 可 以 自动 切换 了 , 极 大 地 提升 了 防火 墙 策略 的 应 用 效率 。firewalld 中 常见 
的 区 域名 称 ( 默 认为 public) 以 及 相应 的 策略 规则 如 表 13-1 所 示 。 


表 13-1 firewalld 中 常用 的 区 域名 称 及 策略 规则 


区 域 默认 策略 规则 

trusted ”| 允许 所 有 的 数据 包 
拒绝 流入 的 流量 ,除非 与 流出 的 流量 相关 ;而 如 果 流量 与 ssh、mdns、ipp-client、amba-client 
与 dhcpv6-client 服务 相关 , 则 允许 流量 
internal 等 同 于 home 区 域 
拒绝 流入 的 流量 ,除非 与 流出 的 流量 数 相关 ;而 如 果 流量 与 ssh、ipp-client 与 dhcpv6-client 
服务 相关 , 则 允许 流量 
拒绝 流 人 的 流量 ,除非 与 流出 的 流量 相关 ;而 如 果 流 量 与 ssh、dhcpv6-client 服务 相关 , 则 允 
许 流量 
external “| 用 于 外 部 网 。 不 能 相信 来 自 网 络 的 计算 机 对 本 机 不 会 造成 损害 ,只 能 接受 经 过 选择 的 连接 
用 于 非 军事 区 的 计算 机 。 此 区 域 可 以 公开 访问 ,可 以 有 限定 地 进入 内 部 网 络 , 仅 接受 经 过 
选择 的 连接 
任何 接收 的 网 络 连接 都 被 IPv4 的 icmp-hostprohibited 信息 和 IPv6 的 icmp6-adm- 
prohibited 信息 所 拒绝 
drop 任何 接收 的 网 络 数据 包 都 被 丢弃 ,没有 任何 回复 , 仅 有 发 送出 去 的 网 络 连接 


home 


work 


public 
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1. 使 用 终端 管理 工具 

命令 行 终端 是 一 种 极 富 效率 的 工作 方式 ,firewall-cmd 是 firewalld 防火 墙 配 置 管理 工 
具 的 CLI( 命 令 行 界面 ) 版 本 。 它 的 参数 一 般 都 是 以 “长 格式 ”的 形式 来 提供 的 ,但 幸运 的 是 
CentOS 7 系统 支持 部 分 命令 的 参数 补 齐 。 现 在 除了 能 用 Tab 键 自动 补 齐 命令 或 文件 名 等 内 
容 之 外 ,还 可 以 用 Tab 键 来 补 齐 表 13-2 中 所 示 的 长 格式 参数 。 


表 13-2 firewall-cmd 命令 中 使 用 的 参数 以 及 作用 


参数 作 用 
—get-default-zone 查询 默认 的 区 域名 称 
一 set-default-zone 一 二 区 域名 称 二 设置 默认 的 区 域 ,使 其 永久 生效 
—get-zones 显示 可 用 的 区 域 
—get-services 显示 预先 定义 的 服务 
—get-active-zones 显示 当前 正在 使 用 的 区 域 与 网 卡 名 称 
一 add-source 一 将 源 自 此 IP 或 子 网 的 流量 导向 指定 的 区 域 
-remove-source 一 不 再 将 源 自 此 IP 或 子 网 的 流量 导向 某 个 指定 区 域 
-add-interface 一 一 网 卡 名 称 二 将 源 自 该 网 卡 的 所 有 流量 都 导向 某 个 指定 区 域 
一 change-interface 一 二 网卡 名 称 二 将 某 个 网 卡 与 区 域 进行 关联 
—list-all 显示 当前 区 域 的 网 卡 配置 参数 资源、 端口 以 及 服务 等 信息 
~list-all-zones 显示 所 有 区 域 的 网 卡 配置 参数 .资源 .端口 以 及 服务 等 信息 
--add-service 一 一 服 务 名 二 设置 默认 区 域 允许 该 服务 的 流量 
-add-port 一 二 端口 号 /协议 二 设置 默认 区 域 允许 该 端口 的 流量 
一 remove-service 一 二 服务 名 二 设置 默认 区 域 不 再 允许 该 服务 的 流量 
一 remove-port 二 达 端 口号 /协议 二 设置 默认 区 域 不 再 允许 该 端口 的 流量 
~reload 让 “永久 生效 ”的 配置 规则 立即 生效 ,并 覆盖 当前 的 配置 规则 
一 panic-on 开启 应 急 状况 模式 
一 panic-off 关闭 应 急 状况 模式 


与 Linux 系统 中 其 他 的 防火 墙 策略 配置 工具 一 样 ,使 用 firewalld 配置 的 防火 墙 策略 默 
认为 运行 时 (Runtime) 模 式 , 又 称 为 当前 生效 模式 ,而 且 随 着 系统 的 重启 会 失效 。 如 果 想 让 
配置 策略 一 直 存 在 ,就 需要 使 用 永久 (Permanent) 模 式 了 。 其 方法 是 使 用 firewall-cmd 命令 
正常 设置 防火 墙 策略 时 添加 --permanent 参数 ,这 样 配置 的 防火 墙 策略 就 可 以 永久 生效 。 但 
是 ,永久 生效 模式 有 一 个 “不 近 人 情 ? 的 特点 ,就 是 使 用 它 设置 的 策略 只 有 在 系统 重启 之 后 才 
能 自动 生效 。 如 果 想 让 配置 的 策略 立即 生效 ,需要 手动 执行 firewall-cmd 一 reload 命令 。 

接 下 来 的 实验 都 很 简单 ,但 是 提醒 大 家 一 定 要 仔细 查看 使 用 的 是 Runtime 模式 还 是 
Permanent 模式 。 如 果 不 关注 这 个 细节 ,就 算是 正确 配置 了 防火 墙 策 略 ,也 可 能 无 法 达到 预 
期 的 效果 。 

(1) 查看 firewalld 服务 当前 所 使 用 的 区 域 。 


291 


国 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


[root@ serverl ~ ]# systemctl stcp iptables 
[root@serverl ~ ]# systemctl start firewalld 

[root@ serverl ~ ]# firewall- amd -- get- default- zone 
Public 


(2) 查询 ens33 网 卡 在 firewalld 服务 中 的 区 域 。 


[root@ serverl ~ ]#firewall- amd -- get- zone- of- interface= ens33 
Public 


(3) 把 firewalld 服务 中 ens33 网 卡 的 默认 区 域 修改 为 external, 并 在 系统 重启 后 生效 。 


分 别 查看 当前 与 永久 模式 下 的 区 域名 称 。 


[root@serverl ~ ]# firewall- cmd -- Permanent —— Zone= exbernal —- change- interface= ens33 
SuUCcess 
[root@serverl ~ ]# firewal1- cmd -~ get- zcner- cf- interface= ens33 


extemal 

[root@ serverl ~ ]# firewall- cmd -~ Permanent ~— get- Zone- of- interface= ens33 
no zone 

(4) 把 firewalld 服务 的 当前 默认 区 域 设 置 为 public。 

[root@serverl ~ ]# firewall- cmd -~ set- default- zone= public 

SUCCesS 

[root@ serverl ~ ]# firewall- amd -- get- default- zone 

public 


(5) 启动 /关闭 firewalld 防火 墙 服务 的 应 急 状 况 模式 , 阻 断 一 切 网 络 连接 ( 当 远程 控制 


服务 器 时 请 慎 用 ) 。 


[root@serverl ~ ]#firewall- cmd -- Panic- on 
success 

[root@ serverl ~ ]#firewall- cmd -- penic- off 
success 


(6) 查询 public 区 域 是 否 允 许 请 求 SSH 和 Https 协议 的 流量 。 


[root@ serverl ~ ]# firewall~ and -- zone= Public —— query- service= ssh 
yes 
[root@ serverl ~ ]# firewall- cmd -- zone= Public —— query- servjce= https 


no 


(7) 把 firewalld 服务 中 请 求 Https 协议 的 流量 设置 为 永久 允许 ,并 立即 生效 。 


[root@ serverl ~ ]# firewall- cmd -- zone= public —— acdd- service= https 
success 


[rocteserverl ~ ]# firewall- cmd -~ Permenent —— zone= Public -- acdd- service= https 
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success 
[root@serverl ~ ]# 和 rewal1- cmd -- relcad 
Success 


(8) 把 firewalld 服务 中 请 求 HTTP 协议 的 流量 设置 为 永久 拒绝 ,并 立即 生效 。 


[root@ serverl ~ ]# firewall~ ard 一 Permanent 一 Zne=Public 一 Temover- service= http 
Success 

[root@serverl ~ ]# firewall~ cmd -- reload 

SuUccess 


(9) 把 在 firewalld 服务 中 访问 8088 和 8089 端口 的 流量 策略 设置 为 允许 ,但 仅 限 当前 


红 
此 
湾 


[root@serverl ~ ]# firewall- amd -~ zone= public ~- add- port= 8088- 8089/tcp 
Success 

[root@serverl ~ ]# frewal1- amd -- zone= public -- list- ports 

8088- 8089/tap 


firewalld 中 的 新 规则 可 以 说 明 更 细致 .更 详细 的 防火 墙 策略 配置 , 它 可 以 针对 系统 服 
务 .端口 号 ` 源 地 址 和 目标 地 址 等 诸多 信息 进行 更 有 针对 性 的 策略 配置 。 它 的 优先 级 在 所 有 
的 防火 墙 策略 中 也 是 最 高 的 。 


2. 使 用 图 形 管理 工具 

firewall-config 是 firewalld 防火 墙 配置 管理 工具 的 GUI( 图 形 用 户 界面 ) 版 本 ,几乎 可 
以 实现 所 有 以 命令 行 来 执行 的 操作 。 毫 不 夸张 地 说 ,即使 读者 没有 扎实 的 Linux 命令 基础 ， 
也 可 以 通过 它 来 妥善 配置 CentOS 7 中 的 防火 墙 策略 。 

在 终端 中 输入 命令 firewall-config 或 者 依次 选择 Applications 一 Sundry 一 Firewall 命 
令 , 打 开 如 图 13-1 所 示 的 窗口 ,其 各 部 分 的 功能 如 下 。 

@ 选择 运行 时 (Runtime) 模 式 或 永久 (Permanent) 模 式 的 配置 。 

@ 可 选 的 策略 集合 区 域 列 表 。 

@ 常用 的 系统 服务 列表 。 

@ 当前 正在 使 用 的 区 域 。 

@@ 管理 当前 被 选中 区 域 中 的 服务 。 

@ 管理 当前 被 选中 区 域 中 的 端口 。 

@ 开启 或 关闭 SNAT( 源 地 址 转换 协议 ) 技 术 。 

@@ 设置 端口 转发 策略 。 

@ 控制 请 求 ICMP 服务 的 流量 。 

@ 管理 防火 墙 的 新 规则 。 

@ 管理 网 卡 设备 。 

@@ 被 选中 区 域 的 服务 。 若 选中 了 相应 服务 前 面 的 复 选 框 , 则 表示 允许 与 之 相关 的 
流量 。 

@ firewall-config 工具 的 运行 状态 。 
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Firewall Configuration 


alld zomé defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 


zone combines services, ports, protocols, masquerading, port/packet forwarding icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 


“@ oO 
ne < /Es > 
block 


a Here you can define which services are trusted in the zone. Trusted services are accessible from 
all hosts and networks that can reach the machine from connections interfaces and sources bound 
drop to this zone, 
external Per 
ool | amanda-client 
internal baculs 
rmomms 口 bacula-client 
trusted ip 四 
ee |D dhcpv6 
Wy dhcpv6-client 
DO dns 
lo np 


图 13-1 Firewall Configuration 窗口 


图 在 使 用 firewall-config 工具 配置 完成 防火 墙 策略 之 后 ,无 须 进行 二 次 确认 ， 
因为 只 要 有 修改 的 内 容 , 它 就 自动 进行 保存 。 下 面 进入 动手 实践 环节 。 


(1) 先 将 当前 区 域 中 请 求 http 服务 的 流量 设置 为 允许 ,但 仅 限 当前 生效 。 有 具体 配置 如 
图 13-2 所 示 。 


Y Active Bindings 
Connections 
ens33 (ens33) 
pe A firewalld zone defines the level of trust for network connections, interfaces and source addresses 
wbro (ibd bound to the zone. The zone combines services, ports, protocols, masquerading, port/packet forwarding, 
Deaton Zone ppte ||| mp fitters and rch rules. The zone can be bound to interfaces and source addresses. 
ee -Wg 
Sources i 
Here you can define which services are trusted in the zone. Trusted 
sp Sevices are accessible from all hosts and networks that can reach the 
erternal machine from connections, interfaces and sources bound to this zone. 
日 
国 
日 
国 
Change Zone | 旦 
Connection to firewalld established. 


Default Zone: public Log Denied: off Panic Mode: disabled Automatic Helpers: system (on) Lockdown: disabled 


图 13-2 放行 请 求 http 服务 的 流量 
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(2) 尝试 添加 一 条 防火 墙 策 略 规 则 ,使 其 放行 访问 8088 一 8089 端口 (TCP 协议 ) 的 流 
量 ,并 将 其 设置 为 永久 生效 ,以 达到 系统 重启 后 防火 墙 策略 依然 生效 的 目的 。 在 按照 图 13-3 
所 示 的 界面 配置 完毕 之 后 .还 需要 在 Options 菜单 中 选择 Reload Firewalld 命令 ,让 配置 的 
防火 墙 策略 立即 生效 ( 见 图 13-4)。 这 与 在 命令 行 中 执行 -reload 参数 的 效果 一 样 。 


Port and Protocol x 


Please enter a Port and Protocol 


For/porpange [e000d] | 


图 13-3 放行 访问 8088 一 8089 端口 的 流量 


Change Zones of Connections - » 
Change Default Zone 
zor Change Log Denied level of trust for network connections interfaces and source addresses 
ne combmes servces, ports, protocols, masquerading, port/packet forwarding, 
Fe Rm rte Melper Assigment The zone can be bound to interfaces and source addresses. 


加 | FE 
四 | OO Leckdown 


Runtime To Permanent Add additional ports or port ranges, which need to be accessible for all 


rs hosts or networks that can connect to the machine 

etermal ete 
EC 
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intermal 
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work 


图 13-4 让 配置 的 防火 墙 策略 立即 生效 
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13.4 配置 NAT 服务 器 
13.4.1 实现 NAT( 网 络 地 址 转换 ) 


1. iptables 实现 NAT 

iptables 防火 墙 利用 NAT 表 能 够 实现 NAT 功能 ,将 内 网 地 址 与 外 网 地 址 进行 转换 , 完 
成 内 、 外 网 的 通信 。NAT 表 支 持 以 下 3 种 操作 。 

。SNAT: 改变 数据 包 的 源 地 址 。 防 火 墙 会 使 用 外 部 地 址 蔡 换 数据 包 的 本 地 网 络 地 
址 ,使 网 络 内 部 主机 能 够 与 网 络 外 部 通信 。 
DNAT: 改变 数据 包 的 目的 地 址 。 防 火 墙 接收 到 数据 包 后 ,会 将 该 数据 包 的 目的 地 
址 进行 替换 ,重新 转发 到 网 络 内 部 的 主机 。 当 应 用 服务 器 处 于 网 络 内 部 时 ,防火 墙 
接收 到 外 部 的 请 求 ,会 按照 规则 设 定 ,将 访问 重 定向 到 指定 的 主机 上 ,使 外 部 的 主机 
能 够 正常 访问 网 络 内 部 的 主机 。 
MASQUERADE: MASQUERADE 的 作用 与 SNAT 完全 一 样 ,改变 数据 包 的 源 地 
址 。 因 为 对 每 个 匹配 的 包 , MASQUERADE 都 要 自动 查找 可 用 的 IP 地址 ,而 不 
像 SNAT 用 的 全 地 址 是 配置 好 的 ,所 以 会 加 重 防 火 墙 的 负担 。 当 然 ,如 果 接 入 外 
网 的 地 址 不 是 固定 地 址 ,而 是 ISP 随机 分 配 的 ,使 用 MASQUERADE 将 会 非常 
方便 。 


2. 配置 SNAT 

SNAT 的 功能 是 进行 源 IP 地 址 转换 ,也 就 是 重 写 数据 包 的 源 IP 地 址 。 若 网 络 内 部 主 
机 采用 共享 方式 ,访问 Internet 连接 时 就 需要 用 到 SNAT 的 功能 ,将 本 地 的 IP 地 址 替换 为 
公 网 的 合法 IP 地 址 。 

SNAT 只 能 用 在 NAT 表 的 POSTROUTING 链 , 并 且 只 要 连接 的 第 一 个 符合 条 件 的 数 
据 包 被 SNAT 进行 地 址 转换 ,那么 这 个 连接 的 其 他 所 有 的 数据 包 都 会 自动 完成 地 址 替换 工 
作 ,而 且 这 种 方式 还 会 应 用 于 这 个 连接 的 其 他 数据 包 。SNAT 使 用 选项 --to-source, 命 令 语 
法 如 下 。 


iptables -t net -及 ECSIRCUTING - s IF1( 内 网 地 址 ) -o 网络 接口 -j ST 一 tc- source IF2 


本 命令 使 得 IP1( 内 网 私有 源 地 址 ) 转 换 为 公用 IP 地 址 IP2。 


3. 配置 DNAT 

DNAT 能 够 完成 目的 网 络 地 址 转换 的 功能 , 换 句 话说 ,就 是 重 写 数据 包 的 目的 IP 地 址 。 
DNAT 是 非常 实用 的 。 例 如 ,企业 Web 服务 器 在 网 络 内 部 ,其 使 用 私 网 地 址 ,没有 可 在 
Internet 上 使 用 的 合法 IP 地 址 。 这 时 ,互联 网 的 其 他 主机 是 无 法 与 其 直接 通信 的 ,那么 ,可 
以 使 用 DNAT, 防 火 墙 的 80 端口 接收 数据 包 后 ,通过 转换 数据 包 的 目的 地 址 ,将 信息 转发 给 
内 部 网 络 的 Web 服务 器 。 

DNAT 需要 在 NAT 表 的 PREROUTING 链 设置 ,配置 参数 为 to-destination, 命 令 格 
式 如 下 。 
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iptables -t nat -A FREROUTING -d IPL -i 网络 接口 -协议 --dport 端口 -j ar 
—— to- destinaticn IP2 


其 中 ,IP1 为 NAT 服务 器 的 公 网 地 址 ,IP2 为 访问 者 Web 服 务 器 


访问 的 内 网 Web 的 IP 地 址 。 A 
DNAT 的 主要 功能 是 使 iptables 能 够 接收 外 部 一 一 -一 邮 


的 请 求 数 据 包 ,并 转发 至 内 部 的 应 用 服务 器 ,整个 过 \ 


程 是 透明 的 ,访问 者 感觉 像 直 接 在 与 内 网 服务 器 进 ~ NA 
行 通信 一 样 ,如 图 13-5 所 示 。 Se 
4. MASQUERADE 图 13-5 DNAT 原理 


MASQUERADE 和 SNAT 作用 相同 ,也 是 提 
供 源 地 址 转换 的 操作 ,但 它 是 针对 外 部 接口 为 动态 IP 地 址 而 设计 的 ,不 需要 使 用 -to-source 
指定 转换 的 IP 地 址 。 如 果 网 络 采用 的 是 拨号 方式 接 人 Internet, 而 没有 对 外 的 静态 IP 地 
址 ,那么 建议 使 用 MASQUERADE。 

【 例 13-9】 公司 内 部 网 络 有 230 台 计 算 机 ,网 段 为 192. 168. 10. 0/24, 并 配 有 一 台 拨 号 
主机 ,使 用 接口 ppp0 接 入 Internet, 所 有 客户 端 都 通过 该 主机 访问 互联 网 。 这 时 ,需要 在 拨 
号 主机 进行 设置 ,将 192. 168. 0. 0/24 的 内 部 地 址 转换 为 ppp0 的 公 网 地 址 。 


[root@ serverl ~ ]# iptables -t nat -A FOSTROUTINS ~- 0 pFEPO 
~ s 192.168.0.0/24 - j MASQUERALE, 


国 MASQUERADE 是 特殊 的 过 滤 规 则 , 它 只 可 以 伪装 从 一 个 接口 到 另 一 个 接 
口 的 数据 。 


注 惠 


S. 连接 跟踪 

(1) 什么 是 连接 跟踪 

通常 ,iptables 防火 墙 的 配置 都 是 单 向 的 ,例如 ,防火 墙 仅 在 INPUT 链 允 许 主机 访问 
Google 站 点 ,这 时 ,请 求 数据 包 能 够 正常 发 送 至 Google 服务 器 ,但 是 , 当 服务 器 的 回应 数据 
包 抵 达 时 ,因为 没有 配置 允许 的 策略 , 则 该 数据 包 将 会 被 丢弃 ,无 法 完成 整个 通信 过 程 。 所 
以 ,配置 iptables 时 需要 配置 出 站 、 入 站 规则 ,这 无 疑 增 大 了 配置 的 复杂 程度 。 实 际 上 ,连接 
跟踪 能 够 简化 该 操作 。 

连接 跟踪 依靠 数据 包 中 的 特殊 标记 ,对 连接 状态 state 进行 检测 , Netfilter 能 够 根据 状 
态 决 定数 据 包 的 关联 ,或 者 分 析 每 个 进程 对 应 数据 包 的 关系 ,决定 数据 包 的 具体 操作 。 连 接 
跟踪 支持 TCP 和 UDP 通信 ,更 加 适用 于 数据 包 的 交换 。 

连接 跟踪 通常 会 提高 通信 的 效率 ,因为 对 于 一 个 已 经 建立 好 的 连接 ,剩余 的 通信 数据 包 
则 不 再 需要 接受 链 中 规则 的 检查 ,这 将 有 效 地 缩短 iptables 的 处 理 时 间 , 当然 ,连接 跟踪 需 
要 占用 更 多 的 内 存 。 

连接 跟踪 存在 以 下 4 种 数据 包 的 状态 。 
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。 NEW: 想 要 新 建立 连接 的 数据 包 。 


。 INVALID: 无 效 的 数据 包 , 例 如 损坏 或 者 不 完整 的 数据 包 。 

。 ESTABLISHED: 已 经 建立 连接 的 数据 包 。 

。 RELATED: 与 已 经 发 送 的 数据 包 有 关 的 数据 包 , 例 如 ,建立 连接 后 发 送 的 数据 包 或 
者 对 方 返回 的 响应 数据 包 。 同 时 使 用 该 状态 进行 设 定 , 简 化 iptables 的 配置 操作 。 


(2) iptables 连接 状态 配置 


配置 iptables 的 连接 状态 ,使 用 选项 -m, 并 指定 state 参数 ,选项 --state 后 跟 状 态 , 如 下 


所 示 。 


-m state -- state< 状态 > 


假如 允许 已 经 建立 连接 的 数据 包 , 以 及 已 发 送 数 据 包 相关 的 数据 包 通 过 , 则 可 以 使 用 
-m 选项 ,并 设置 接收 ESTABLISHED 和 RELATED 状态 的 数据 包 , 如 下 所 示 。 


[root@ serverl ~ ]# iptables -I INEUT -mm state -- state 
ESTAELISHED, RELAMIED - j POCEPT 


13.4.2 NAT 综合 案例 
1. 企业 环境 


公司 网 络 拓扑 如 图 13-6 所 示 。 内 部 主机 使 用 192. 168. 10. 0/24 网 段 的 IP 地 址 ,并 且 使 
用 Linux 主机 作为 服务 器 连接 互联 网 ,外 网 地 址 为 固定 地 址 202. 112. 113. 112。 现 需要 满足 


如 下 要 求 。 


内 部 网 的 IP 地 址 : 
192.168.10.20/24 


角色 : 允许 Internet 访 问 的 Web 服 务 器 、 
iptables 

计算 机 名 : serverl 

IP 地 址 : 192.168.10.1/24 

网 关 : 192.168.10.20 

操作 系统 : CentOS 7.4 


接 me) 


IP 地 址 : 
202.112.113.112/24 


角色 : NAT 服 务 器 (Internet 网 关 ) 及 防火 墙 


计算 机 名 : server2 


操作 系统 : CentOS 7.4 
角色 : Jet 上 的 We 服务员 及 购 炎 二 
计算 机 名 : client2 
操作 系统 : CentOS 7.4 
IP 地 址 : 202.112.113.113/24 
网 关 : 202.112.113.113 


图 13-6 企业 网 络 拓扑 


(1) 配置 SNAT., 保 证 内 网 用 户 能 够 正常 访问 Internet。 
(2) 配置 DNAT, 保 证 外 网 用 户 能 够 正常 访问 内 网 的 Web 服务 器 。 
Linux 服务 器 和 客户 端的 信息 如 表 13-3 所 示 ( 可 以 使 用 相关 克隆 技术 快速 安装 需要 的 


Linux 客户 端 ) 。 
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表 13-3 ”Linux 服务 器 和 客户 端的 地 址 信息 


主机 名 称 操作 系统 全 地 址 角 色 
内 网 服务 器 : Serverl CentOS 7 | 192. 168. 10. 1(VMnetl) Web 服务 器 ,iptables 防火 墙 
IP1:192. 168. 10. 20(VMnetl) , 
火 墙 : 人 
防火 墙 : Server2 0 全 SG iptables SNAT .DNAT 
外 网 Linux 客户 端 : Client2 | CentOS 7 | 202. 112. 113. 113(VMnet8) Web \firewalld 
2. 解决 方案 


1) 配置 SNAT 并 测试 

(1) 搭建 并 测试 环境 

Oa 根据 图 13-6 和 表 13-3 配置 Serverl、Server2 和 Client2 的 IP 地址 、 子 网 掩 码 、 网 关 等 
信息 。Server2 要 安装 双 网 卡 , 同 时 计算 机 的 网 络 连 接 方式 一 定 要 注意 。 

@ 在 Serverl 上 ,测试 与 Server2 和 Client2 的 连通 性 。 


[root@ serverl ~ ]#ping 192.168.10.20 // 通 
[root@serverl ~ ]#ping 202.112.113.112 // 通 
[root@ serverl ~ ]#ping 202.112.113.113 // 不 通 


@ 在 Server2 上 测试 与 Serverl 和 Client2 的 连通 性 ,都 是 畅通 的 。 
@ 在 Client2 上 测试 与 Serverl 和 Server2 的 连通 性 。 

与 Serverl 是 不 通 的 。 

(2) 在 Server2 上 配置 防火 墙 SNAT 


root@clientl ~ ]# cat /Proc/sys/net/ipv4/ip forward 


1 // 确 认 开启 路 由 存储 转发 ,其 值 为 1 
root@server2 ~ ]#mount /dev/cdrom /iso 
root@server2 ~ ]#yum Clean all 


root@ server2 ~ ]# yun install iptables iptables- services -了 

root@ server2 ~ ]# systemct] stcp firewalld 

root@ server?2 ~ ]# systemctl] start iptables 

root@ server?2 ~ ]# iptables -下 

root@server2 ~ ]# iptables -LL 

[root@server2 ~ ]#iptables -tnat L 

root@ server2 ~ ]# iptables -~t nat ~ A FOSTROUTING - s 192.168.10.0/24 - j SNAT -- to- source 202.112.113.112 
root@server?2 ~ ]# iptables ~-t nat -L 


target Prot opt source Gestinaticn 
SPAT al -- 192.168.10.0/24 anywhere to:202.112.113.112 


(3) 在 外 网 Client2 上 配置 供 测 试 的 Web 


[rooteclient2 ~ ]#mount /dev/cdrom /iso 
[rooteclient2 ~ ]#yum cleen all 
[root@client? ~ ]# yum install httpd -了 
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[rooteclient2 ~ ]# firewall- cmd -- Permanent —— add- service= http 

[roocteclient2 ~ ]# firewall- cmd -- reload 

[rocteclient2 ~ ]#firewall- cmd - list-all 

[root@client? ~ ]# systemctl] restart httpd 

[rooteclient2 ~ ]#netstat - an |grep :80 // 查 看 8 端口 是 否 开放 
[rooteclient2 ~ ]# firefox 127.0.0.1 


(4) 在 内 网 Serverl 上 测试 SNAT 配置 是 否 成 功 


[root@ serverl ~ ]#ping 202.112.113.113 
[root@ serverl ~ ]# firefox 202.112.113.113 


网 络 畅通 , 且 能 访问 到 外 网 的 默认 网 站 。 

请 读者 在 Client2 上 查看 /var/log/httpd/access_log 中 是 否 包含 源 地 址 192. 168. 10. 1， 
为 什么 ? 包含 202. 112. 113. 112 吗 ? 

2) 配置 DNAT 并 测试 

(1) 在 Serverl 上 配置 内 网 Web 及 防火 墙 


root@ serverl ~ ]#mount /dev/cdrom /iso 

root@serverl ~ ]#yum cleen all 

root@serverl ~ ]#yum install httpd -了 
root@serverl ~ ]# systemctl restart httpd 

root@serverl ~ ]# systemctl enable httpd 
root@serverl ~ ]# systemctl] stcp firewalld 

root@serverl ~ ]# systemctl start iptables 
root@serverl ~ ]# systemctl] enable iptables 

root@ serverl ~ ]# systemctl status iptables 

root@serverl ~ ]#iptables -下 

root@serverl ~ ]# iptables -L 

root@serverl ~ ]# systemctl enable iptables 
root@serverl ~ ]# systemctl enable iptables 

root@ serverl ~ ]# iptables -A INEUT -P tcp -- dport 80 -j MOCEET 
root@serverl ~ ]#iptables -A INFUT -ilo -jacczFT  // 允 许 访问 回环 地 址 
root@ serverl ~ ]# iptables -及 INEUT -mm state -- state ESTABLISHED, RELATED 


—j POCEPT 
root@serverl ~ ]# iptables -及 INEUT ~ j REJECT /| 其 他 访问 皆 拒 绝 
root@serverl ~ ]# vim /var/wwww/html /index.html // 收 改 默 认 网 站 内 容 供 测试 


root@serverl ~ ]#iptables - 工 INFUT -P icmp -j AOCEPT // 插 入 允许 ping 命 令 的 条 目 
root@serverl ~ ]# iptables -了 


target prot opt source destination 
POEPT icp — anywhere anywhere 
PCCEPT top -- anywhere anywhere tcp dpt:http 
BOEPT all -- anyihere anyshere 
all -- anywhere anywhere State RETATED, ESTABLISHED 
DCEPT all -- anyihere anyihere state FETATED,ESTABLISHED 
all — anywhere anywhere reject-with iamp- port- unreachable 
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[root@ serverl ~ ]# service iptables save 

[root@ serverl ~ ]# cat /etc/sysccnfig/iptables -n 

# Generated by iptables- save v1.4.21 on Sun Jul 29 09:03:05 2018 
* filter 

:INEUT AOCEPT [0:0] 

:FORWARD AOCEPT [0:0] 

:OUTEUT AOCEPT [1:146] 

—A INEUT -p iam -j AOCEPT 

—A INEUT -P tap -mtap --dport 80 -j AOCEPT 

—A INPUT -ilo —j AOCEPT 

-A INFUT —m state —— state RELATED,ESTABLISHED 

-A INEUT -m state —— state RELATED, ESTABLISHED — j AOCEPT 
—A INFUT - j REJECT 一 reject- with iamp- Port- unreachable 
COMIT 

13  #Cmpleted on Sun Jul 29 09:03:05 2018 


BESoeowawemwnh 


(2) 在 防火 墙 Server2 上 配置 DNAT 


[rooteclientl ~ ]# iptables - t nat ~ A FREROUTINS - d 202.112.113.112 -p tcp -- dport 80 - j INAT --to- 
destinaticn 192.168.10.1:80 


(3) 在 外 网 Client2 上 测试 


[root@client? ~ ]#ping 192.168.10.1 
[root@client? ~ ]# firefex 202.112.113.112 


13.5 ”配置 代理 服务 器 


代理 服务 器 (Proxy Server) 等 同 于 内 网 与 Internet 的 桥梁 。 普 通 的 Internet 访问 是 一 
个 典型 的 客户 机 与 服务 器 结构 : 用 户 利用 计算 机 上 的 客户 端 程序 ,如 浏览 器 发 出 请 求 , 远 端 
www 服务 器 程序 响应 请 求 并 提供 相应 的 数据 。 而 Proxy 处 于 客户 机 与 服务 器 之 间 , 对 于 服 
务 器 来 说 ,Proxy 是 客户 机 ,Proxy 提出 请 求 ,服务 器 响应 ;对 于 客户 机 来 说 , Proxy 是 服务 
器 , 它 接受 客户 机 的 请 求 , 并 将 服务 器 上 传 来 的 数据 转 给 客户 机 。 它 的 作用 如 同 现实 生活 中 
的 代理 服务 商 。 


13.5.1 代理 服务 器 概述 


1. 代理 服务 器 原理 

当 客 户 端 在 浏览 器 中 设置 完成 Proxy 服务 器 后 ,所 有 使 用 浏览 器 访问 Internet 站 点 的 
请 求 都 不 会 直接 发 送 给 目的 主机 ,而 是 先 发 送 至 代理 服务 器 ,代理 服务 器 接收 到 客户 端的 请 
求 以 后 ,由 代理 服务 器 向 目的 主机 发 出 请 求 ,并 接收 目的 主机 返回 的 数据 ,存放 在 代理 服务 
器 的 硬盘 ,然后 再 由 代理 服务 器 将 客户 端 请 求 的 数据 转发 给 客户 端 。 具体 流程 如 图 13-7 
所 示 。 

@ 当 客户 端 A 对 Web 服务 器 端 提出 请 求 时 ,此 请 求 会 首先 发 送 到 代理 服务 器 。 
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代理 缓存 


ee slls 划 


客户 端 B 
图 13-7 代理 服务 器 工作 原理 


@ 代理 服务 器 接收 到 客户 端 A 的 请 求 后 ,会 检查 缓存 中 是 否 存 有 客户 端 A 所 需要 的 数据 。 

@ 如 果 代理 服务 器 没有 客户 端 A 所 请 求 的 数据 ,将 向 Web 服务 器 提交 请 求 。 

人 @ Web 服务 器 响应 请 求 的 数据 。 

@ 代理 服务 器 从 服务 器 获取 数据 后 ,保存 至 本 地 的 缓存 ,以 备 以 后 查询 使 用 。 

@ 代理 服务 器 向 客户 端 A 转发 Web 服务 器 的 数据 。 

@ 客户 端 B 访 问 Web 服务 器 ,向 代理 服务 器 发 出 请 求 。 

@ 代理 服务 器 查找 缓存 记录 ,确认 已 经 存在 Web 服务 器 的 相关 数据 。 

@ 代理 服务 器 直接 回应 查询 的 信息 ,而 不 需要 再 去 服务 器 进行 查询 ,从 而 达到 节约 网 
络 流量 和 提高 访问 速度 的 目的 。 


2. 代理 服务 器 的 作用 
(1) 提高 访问 速度 。 
(2) 用 户 访问 限制 。 
(3) 安全 性 得 到 提高 。 


13.5.2 安装 ,启动 ,停止 与 随 系统 启动 squid 服务 


对 于 Web 用 户 来 说 ,squid 是 一 个 高 性 能 的 代理 缓存 服务 器 ,可 以 加 快 内 部 网 浏览 
Internet 的 速度 ,提高 客户 机 的 访问 命中 率 。squid 不 仅 支持 HTTP 协议 ,还 支持 FTP、 
gopher、SSL 和 WAIS 等 协议 。 和 一 般 的 代理 缓存 软件 不 同 ,squid 用 一 个 单独 的 、 非 模块 化 
的 IVO 驱动 的 进程 来 处 理 所 有 的 客户 端 请 求 。 


[root@server2 ~ ]# rEm - qa |grep squid 
[root@ server2 ~ ]#mount /dev/odram /iso 


[rooteserver2 ~ ]#yum clean all // 安 装 前 先 清除 缓存 
[root@server?2 ~ ]#yum install squid -y 

[root@server? ~ ]# systemctl] start squid /启动 sqvid 服 务 
[root@server? ~ ]# systemctl] enable squid // 开 机 自动 自动 启动 
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squid 服务 的 主 配置 文件 是 /etc/squid/squid. conf ,用 户 可 以 根据 自己 的 实际 情况 修改 


相应 的 选项 。 
1. 几 个 常用 的 选项 


与 之 前 配置 过 的 服务 程序 大 致 类 似 ,squid 服务 程序 的 配置 文件 也 是 存放 在 /etc 目录 下 
一 个 以 服务 名 称 命名 的 目录 中 。 表 13-4 是 一 些 常用 的 squid 服务 程序 配置 参数 及 作用 。 


表 13-4 常用 的 squid 服务 程序 配置 参数 及 作用 


参 数 作 用 
http_port 3128 监听 的 端口 号 
cache_mem 64M 内 存 缓冲 区 的 大 小 
cache_dir ufs /var/spool/squid 2000 16 256 硬盘 缓冲 区 的 大 小 
cache_effective_user squid 设置 缓存 的 有 效用 户 
cache_effective_group squid 设置 缓存 的 有 效用 户 组 
dns_nameservers [IP 地 址 ] 一 般 不 设置 ,而 是 用 服务 器 默认 的 DNS 地 址 
cache_access_log /var/log/squid/access. log 访问 日 志文 件 的 保存 路 径 
cache_log /var/log/squid/cache. log 缓存 日 志文 件 的 保存 路 径 
visible_hostname www. smile. com 设置 squid 服务 器 的 名 称 


2. 设置 访问 控制 列表 

squid 代理 服务 器 是 Web 客户 机 与 Web 服务 器 之 间 的 中 介 , 它 实现 访问 控制 ,决定 哪 
一 台 客 户 机 可 以 访问 Web 服务 器 以 及 如 何 访问 。squid 服务 器 通过 检查 具有 控制 信息 的 主 
机 和 域 的 访问 控制 列表 (ACL) 来 决定 是 否 允 许 某 客户 机 进行 访问 。ACL 是 要 控制 客户 的 
主机 和 域 的 列表 。 使 用 acl 命令 可 以 定义 ACL ,该 命令 在 控制 项 中 创建 标签 。 用 户 可 以 使 
用 http_access 等 命令 定义 这 些 控 制 功能 ,可 以 基于 多 种 acl 命令 选项 ,如 源 IP 地 址 、 域 名 、 
时 间 和 日 期 来 使 用 acl 命令 定义 系统 或 者 系统 组 。 

(1) acl 

acl 命令 的 格式 如 下 。 


acl 列表 名 称 列表 类 型 [- 司 列表 值 


其 中 ,列表 名 称 用 于 区 分 squid 的 各 个 访问 控制 列表 ,任何 两 个 访问 控制 列表 不 能 用 相 
同 的 列表 名 。 一 般 来 说 ,为 了 便于 区 分 列表 的 含义 ,应 尽量 使 用 意义 明确 的 列表 名 称 。 

列表 类 型 用 于 定义 可 被 squid 识别 的 内 容 。 例 如 ,可 以 通过 IP 地址、 主机 名 ,域名 ,日 期 
和 时 间 等 。ACL 列表 类 型 及 说 明 如 表 13-5 所 示 。 


> Ta < 


国 ”Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL 7.4) 


表 13-5 ACL 列表 类 型 及 说 明 


ACL 列表 类 型 说 明 
src ip-address/netmask 客户 端 源 IP 地 址 和 子 网 掩 码 
src addrl-addr4/netmask 客户 端 源 IP 地 址 范围 
dst ip-address/netmask 客户 端 目标 IP 地 址 和 子 网 掩 码 
myip ip-address/netmask 本 地 套 接 字 IP 地 址 
srcdomain domain 源 域 名 (客户 机 所 属 的 域 ) 
dstdomain domain 目的 域名 (Internet 中 的 服务 器 所 属 的 域 ) 
srcdom_regex expression 对 来 源 的 URL 做 正则 匹配 表达 式 
dstdom_regex expression 对 目的 URL 做 正则 匹配 表达 式 


指定 时 间 。 用 法 : acl aclname time [day-abbrevs] [hl :ml-h2:m2]。 
其 中 day-abbrevs 可 以 为 : SCSunday) 、M( Monday)、T(Tuesday) 、 


ee W(Wednesday) .H(Thursday) .F(Friday) .A(Saturday) 
注意 : hl:ml 一 定 要 比 h2:m2 小 

port 指定 连接 端口 ,如 acl SSL_ports port 443 

Proto 指定 所 使 用 的 通信 协议 ,如 acl allowprotolist proto HTTP 

url_regex 设置 URL 规则 匹配 表达 式 

urlpath_regex:URL-path 设置 略 去 协议 和 主机 名 的 URL 规则 匹配 表达 式 


更 多 的 ACL 类 型 表达 式 可 以 查看 squid. conf 文件 。 
(2) http_access 


设置 允许 或 拒绝 某 个 访问 控制 列表 的 访问 请 求 。 格 式 如 下 : 
http accsss [allowldeny] 访问 控制 列表 的 名 称 


squid 服务 器 在 定义 了 访问 控制 列表 后 ,会 根据 http_access 选项 的 规则 允许 或 禁止 满 
足 一 定 条 件 的 客户 端的 访问 请 求 。 
【 例 13-10】 拒绝 所 有 的 客户 端的 请 求 。 


acl all src 0.0.0.0/0.0.0.0 
http acoess deny all 


【 例 13-11】 禁止 192. 168. 1. 0/24 网 段 的 客户 机 上 网 。 


acl client] src 192.168.1.0/255.255.255.0 
http acoess deny clientl 


【 例 13-12】 禁止 用 户 访问 域名 为 www. playboy. com 的 网 站 。 


acl badqcmain dstdcomain www.playboy.cam 
http acoess deny baddomain 
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【 例 13-13】〗 禁止 192. 168. 1.0/24 网 络 的 用 户 在 周一 到 周 五 的 9:00 一 18:00 上 网 。 
acl client] src 192.168.1.0/255.255.255.0 
acl badtime time MIWHF 9:00- 18:00 
http acoess deny clientl badtime 


【 例 13-14】 禁止 用 户 下 载 * . mp3、* .exe、x*.zip 和 x.rar 类 型 的 文件 。 


acl badfile urlpath regex -i \.mp3$ \.exe$ \.zip$ \.rar$ 
http_access deny bedfile 


【 例 13-15】 屏蔽 www. whitehouse. gov 站 点 。 


acl badsite dstdcmain -1 www.whitehouse.gov 
http_access deny bedsite 


其 中 ,-i 表 示 忽 略 大 小 写字 母 ,默认 情况 下 squid 是 区 分 大 小 写 的 。 
【 例 13-16】 屏蔽 所 有 包含 sex 的 URL 路 径 。 


acl sex url regex -1 sex 
http_access deny sex 


【 例 13-17】 禁止 访问 22、23、25、53、110、119 这 些 危险 端口 。 


acl dangerous port port 22 23 25 53 110 119 
http_access deny dangerous Port 


如 果 不 确定 哪些 端口 具有 危险 性 ,也 可 以 采取 更 为 保守 的 方法 ,就 是 只 允许 访问 安全 的 


默认 的 squid. conf 包含 了 下 面 的 安全 端口 ACL ,程序 代码 如 下 。 


acl safe Portl port 80 #http 

acl safe port2 port 21 #ftp 

acl safe port3 port 443 563 # https, snews 
acl safe port4 port 70 # gopher 

acl safe port5 port 210 #wais 

acl safe port6 port 1025- 65535 # unregistered Ports 
acl safe port7 port 280 # http- mgmt 
acl safe port8 port 488 #gss- http 

acl safe port9 port 591 # filemaker 
acl safe port10 port 777 #mltiling http 
acl safe Portll port 210 #waisp 


http acoess deny !safe portl 
http acoess deny !safe port2 


http acoess deny !safe port1l 
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http_access deny !safe_portl 表示 拒绝 所 有 的 非 safe_ports 列表 中 的 端口 。 这 样 设置 
使 系统 的 安全 性 得 到 了 进一步 的 保障 。 其 中 “!1” 叹 号 表示 取 反 。 


闫 | 由 于 squid 是 按照 顺序 读 取 访 问 控制 列表 的 ,所 以 合理 地 安排 各 个 访问 控制 
列表 的 顺序 至 关 重 要 。 


和 注 忌 


13.6 ”squid 和 NAT 企业 实战 与 应 用 


利用 squid 和 NAT 功能 可 以 实现 透明 代理 。 透 明代 理 的 意思 是 客户 端 根 本 不 需要 知 
道 有 代理 服务 器 的 存在 ,客户 端 不 需要 在 浏览 器 或 其 他 的 客户 端 工作 中 做 任何 设置 ,只 需要 
将 默认 网 关 设置 为 Linux 服务 器 的 IP 地 址 即 可 (内 网 IP 地 址 )。 透 明代 理 服 务 的 典型 应 用 
环境 参考 图 13-6 。 


1. 实例 要 求 

(1) 客户 端 在 设置 代理 服务 器 地 址 和 端口 的 情况 下 能 够 访问 互联 网 上 的 Web 服务 器。 

(2) 客户 端 不 需要 设置 代理 服务 器 地 址 和 端口 就 能 够 访问 互联 网 上 的 Web 服务 器 , 即 
透明 代理 。 

(3) 代理 服务 器 仅 配 置 代理 服务 ,内存 为 2GB; 硬 盘 为 SCSI 硬盘 ,容量 为 200GB; 设 置 
10GB 空间 为 硬盘 缓存 ;要 求 所 有 客户 端 都 可 以 上 网 。 


2. 客户 端 需要 配置 代理 服务 器 的 解决 方案 

(1) 部 署 网 络 环境 配置 

本 实 训 由 3 台 Linux 虚拟 机 组 成 ,1 台 是 squid 代理 服务 器 (Server2), 双 网 卡 (IP1 为 
192. 168. 10. 20/24 ,连接 VMnetl;IP2 为 202. 112. 113. 112/24 ,连接 VMnet8); 1 台 是 安装 
Linux 操作 系统 的 squid 客户 端 (Serverl ,IP 为 192. 168. 10. 1/24 ,连接 VMnet1); 还 有 1 台 
是 互联 网 上 的 Web 服务 器 ,也 安装 了 Linux(IP 为 202. 112. 113. 113 ,连接 VMnet8)。 

请 读者 注意 各 网 卡 的 网 络 连接 方式 是 VMnetl 还 是 VMnet8。 各 网 卡 的 IP 地 址 信息 可 
以 进行 永久 设置 。 

@D 在 Serverl 上 (使 用 ifconfig 设置 IP 地 址 等 信息 ,重启 后 会 失效 。 也 可 以 使 用 其 他 
方法 )。 


[root@serverl ~ ]# ifconfig ens33 192.168.10.1 netmask 255.255.255.0 
[root@serverl ~ ]# route acd default gw 192.168.10.20 // 网 关 一 定 要 设置 


@ 在 Client2 上 (不 要 设置 网 关 , 或 者 把 网 关 设 置 成 本 机 的 IP 地 址 ) 。 


[rooteclient2 ~ ]# ifomnfig ens33 202.112.113.113 netbmask 255.255.255.0 


[rooteclient2 ~ ]#mount /dev/odram /iso // 挂 载 安装 光盘 
[root@client? ~ ]#yum clean all 
[rooteclient2 ~ ]#yum install htppd -y /安装 Wb 


[root@client? ~ ]# systemctl] start httpd 
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[rooteclient2 ~ ]# systemctl enable httpd 
[root@client? ~ ]# systemctl] start firewalld 
[root@client? ~ ]# firewall- cmd -- Permanent —— add- service= http 


// 让 防火 墙 放行 httpd 服 务 
root@client?2 ~ ]# firewall- cmd -- reload 
@ 在 Server2 代理 服务 器 上 停止 firewalld, 启 用 iptables 。 
rooteclientl ~ ]#hostnemect] set- hostneme server2 /人 改名 字 为 server2 
root@ server2 ~ ]# ifconfig ens33 192.168.10.20 netmask 255.255.255.0 
root@ server?2 ~ ]# ifconfig ens38 202.112.113.112 netmask 255.255.255.0 
root@server2 ~ ]#ping 192.168.10.1 
root@ server2 ~ ]#ping 202.112.113.113 
root@ server?2 ~ ]# systemctl stop firewalld 
root@ server?2 ~ ]# systemctl start iptables 
root@server2 ~ ]# iptables -下 // 清 除 防火 墙 的 影响 
root@server?2 ~ ]# iptables -L 
(2) 在 Server2 上 安装 、 配 置 squid 服务 (前 面 已 安装 ) 
root@ server2 ~ ]# vim /etc/squid/squid.conf 


acl localnet src 192.0.0.0/8 

http access allow localnet 

# 定 义 192.0.0.0 网 络 为 localnet, 允 许 访问 localnet, 其 他 被 拒绝 

http_access deny all 

# 设 置 硬盘 缓存 大 小 为 10sB, 目 录 为 /var/spool/squid, 一 级 子 目录 16 个 ,二 级 子 目录 256 个 
Cache_dir ufs /var/spool/scuid 10240 16 256 


http port 3128 
visible hostname server2 


[root@ server?2 ~ ]# systemctl start squid 
[root@ server?2 ~ ]# systemctl enable squid 


(3) 在 Linux 客户 端 Serverl 上 测试 代理 设置 是 否 成 功 

@ 打开 Firefox 浏览 器 ,配置 代理 服务 器 。 在 浏览 器 中 按 下 Alt 键 调 出 菜单 ,依次 选择 
Edit( 编 辑 ) 一 Perferences( 首 选项 ) 一 Advanced( 高 级 ) 一 Network( 网 络 ) 一 Settings( 设 置 ) 命 
令 ,打开 Connection Settings 对 话 框 ,选中 Manual proxy configuration( 手 动 配置 代理 ) ,将 
代理 服务 器 地 址 设 为 192. 168. 10. 20 ,端口 设 为 3128, 如 图 13-8 所 示 。 设 置 完成 后 单 击 OK 
按钮 退出 。 

@ 在 浏览 器 地 址 栏 中 输入 http://202. 112. 113. 113 ,然后 按 Enter 键 ,出 现 如 图 13-9 
所 示 的 界面 。 


应 在 使 用 “iptables -F” 前 先 清除 防火 墙 的 影响 再 进行 测试 ,否则 会 出 现 如 


OO 图 13-10 的 错误 界面 。 
提 示 
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Test Page for the Apache.. x | 次 Preferences x \+ 


€) Or about:preferences#tadvanced 
Connection Settings 


Configure Proxies to Access the Internet 
) No proxy 
Auto-detect proxy settings for this network 
) Use system proxy settings 
® Manual proxy configuratior 
HTTP Proxy: | 192.168.10.20 


财 | Use this proxy server for all protocols 
SSL Proxy| 192.168.10.20 
FTP proxy| 192.168.10.20 
SOCKS Host| 192.168.10.20 


SOCKS v4 团 SOCKS 
No Proxy for: 
localhost, 127.0.0.1 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 


Apache HTTP Server Tes— x | 二 


€ hp/202112113.113 -| > ][Q a 位 自 昧 育 回 


~ ~ l 4 
oa A » 
Dd — 


This page is used to test the proper operation of the Apache HTTP server 
after it has been installed. If you can read this page it means that this site 


is working properly. This server is powered by CentOS. 


图 13-9 成 功 浏览 


(4) 在 Linux 服务 器 端 Server2 上 查看 日 志文 件 


[rooteserver2 ~ ]# vim /var/log/sqpid/acoass.10g 
530969125.1@9 5 192.168.10.1 TP MISS/4B 439 GT http://202.112.113.113/ 
— HIER_DIRECT/202.112.113.113 text/html 


3. 客户 端 不 需要 配置 代理 服务 器 的 解决 方案 
(1) 在 Server2 上 配置 squid 服务 。 
@ 修改 squid. conf 配置 文件 ,将 http_port 3128 改 为 如 下 内 容 并 
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Problem loading page - Morilla Firefox 二 


A Problem loading page ” x 仆 尊 Preferences x 二 
[Golzznzmnanz © J[Q seam | 人 和 白水 育 加 三 


'0) Unable to connect 


Firefox can't establish a connection to the server at 202.112.113.112. 


» The site could be temporariy unavailable or too busy. Try again in a few moments. 


» If you are unable to load any pages, check your computers network connection. 
If your computer or network is protected by[a frewall or proxy make sure that Firefox is permitted to access the 
Lh ee 
Web. 


图 13-10 不 能 正常 连接 


[root@ server2 ~ ]# vim /etc/squid/squid.conf 
http port 192.168.10.20:3128 transparent 
[root@ server?2 ~ ]# systemctl] restart squid 


@ 清除 iptables 的 影响 ,并 添加 iptables 规则 。 将 源 网 络 地 址 为 192. 168. 10. 0、TCP 
端口 为 80 的 访问 直接 转向 3128 端口 。 


[root@ server?2 ~ ]# systemctl stcp firewalld 

[root@ server? ~ ]# systemctl restart iptables 

[root@ server2 ~ ]# iptables —F 

[root@ server2 ~ ]# iptables -七 nat -I FREROUTINS - 3 192.168.10.0/24 ~-p tcp 


—- dport 80 ~ j FEDIFECT -- to- ports 3128 


(2) 在 Linux 客户 端 Serverl 上 测试 代理 设置 是 否 成 功 。 

OO 打开 Firefox 浏览 器 ,配置 代理 服务 器 。 打 开 Connection Settings 对 话 框 ,选中 No 
proxy( 无 代理 ) 选 项 ,将 代理 服务 器 设置 清空 。 

@ 设置 Serverl 的 网 关 为 192. 168. 10. 20。( 删 除 网 关 命 令 是 将 add 改 为 del。) 


[root@serverl ~ ]# route add defeult gw 192.168.10.20 // 网 关 一 定 要 设置 


@ 在 Serverl 浏览 器 地 址 栏 中 输入 http://202. 112. 113. 113 ,然后 按 Enter 键 ,显示 测 


试 成 功 。 
(3) 在 Web 服务 器 端 Client2 上 查看 日 志文 件 。 


[root@Client2 ~ ]# vim /var/log/httpd/acoess log 
202.112.113.112 - - [28/Ju1/2018:23:17:15 + 0800] "GET /faviccn.ico HITP/1.1" 404 


209 "- " "Mozilla/5.0 (Xll; Linux x86 64; rv:52.0) Gecko/20100101 Firefox/52.0" 


国 CentOS 7 的 Web 服务 器 日 志文 件 是 /var/log/httpd/access_log,CentOS 6 
中 的 Web 服务 器 的 日 志文 件 是 /var/log/httpd/access. log。 
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4. 反 向 代理 的 解决 方案 
如 果 外 网 客户 要 访问 内 网 Serverl 的 Web 服务 器 ,可 以 使 用 反 向 代理 。 
(1) 在 Serverl 上 安装 HTTP 服务 并 启动 ,再 让 防火 墙 通过 。 


[root@serverl ~ ]## yum install httpd -Y 

[root@serverl ~ ]# systemctl] start firewalld 

[root@serverl ~ ]# firewall- cmd -- permenent —— add- service= http 
[root@serverl ~ ]# firewall- cmd -~ reload 

[root@serverl ~ ]# systemctl start httpd 

[root@ serverl ~ ]# systemctl enable httpd 


(2) 在 Server2 上 配置 反 向 代理 。( 注 意 ,前 3 句 是 定义 一 个 localnet 网 络 ,其 网 络 ID 是 
202. 0.0.0, 后 面 再 允许 该 网 段 访问 ,其 他 网 段 拒绝 访问 。) 


[root@ server?2 ~ ]# systemctl stcp iptables 

[root@ server?2 ~ ]# systemctl] start firewalld 

[root@ server2 ~ ]# firewall~ cmd -~ Permanent ~— add- service= squid 
[root@ server2 ~ ]# firewall- cmd -~ Permanent -— add- port= 80/tcp 
[root@server2 ~ ]# firewall- cmd -~ reloed 


[root@ server?2 ~ ]# vim /etc/squid/squid.oonf 

acl localnet src 202.0.0.0/8 

http acoess allow localnet 

http acoess deny all 

http port 202.112.113.112:80 vhost 

cache Peer 192.168.10.1 parent 80 0 originserver weight= 5 mex_oonr= 30 
[root@ server2 ~ ]# systemctl restart squid 


(3) 在 外 网 Client2 上 进行 测试 。( 浏 览 器 的 代理 服务 器 设 为 No proxy。) 


[rooteclient2 ~ ]# firefox 202.112.113.112 


5. 几 种 错误 的 解决 方案 (以 反 向 代理 为 例 ) 
(1) 如 果 防 火 墙 设置 不 好 ,会 出 现 图 13-11 所 示 的 错误 界面 。 
解决 方案 : 在 Server2 上 设置 防火 墙 。 当 然 也 可 以 使 用 stop 停止 全 部 防火 墙 。 


[root@ server2 ~ ]# systemctl] stcp iptables 

[root@server?2 ~ ]# systemct] start firewalld 

[root@ server2 ~ ]# firewall- cmd -~ Permenent -— acdd- servicer squid 
[root@ server?2 ~ ]# firewall- cmd -- Permenent -— add- port= 80/tcp 
[root@ server2 ~ ]# firewall~ cmd -~ reload 


(2) acl 列表 设置 不 对 ,可 能 会 出 现 如 图 13-11 所 示 的 错误 界面 。 
解决 方案 : 在 Server2 上 的 配置 文件 中 增加 或 修改 如 下 语句 : 
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ERROR: The requested URL could not be retrieved - Morzilla Firefox = 
ERROR: The requested Ux \ 浆 Preferences x | 十 
(€) © 702 1213.12 | e |Q search 个 | 自 最 对 固 三 


ERROR 
The requested URL could not be retrieved 


The following error was encountered while trying to retrieve the URL: http:/202.112.113.112/ 
Access Denied. 
Access control configuration prevents your request from being allowed at this time. Please contact your service provider ff you feel this is incorrect. 


Yur cache administrator is root. 


(Generated Mon, 30 Jul 2018 1201.45 GMT by 192.168 10.20 (squidf3.5.20) 


图 13-11 不 能 被 检索 


[rooteserver2 ~ ]# vim /etc/squid/squid.ccnf 
acl localnet src 202.0.0.0/8 

http acoess allow localnet 

http acoess deny all 


防火 墙 是 非常 重要 的 保护 工具 ,许多 网 络 故 障 都 是 由 于 防火 墙 配置 不 当 引 
起 的 ,读者 需要 清楚 认识 其 重要 性 。 为 了 后 续 实 训 不 受 影 响 , 可 以 在 完成 本 次 实 
说 明 训 后 ,重新 恢复 初始 安装 。 
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13.7 练习 题 


一 、 填空 题 
可 以 使 企业 内 部 局 域 网 与 Internet 之 间或 者 与 其 他 外 部 网 络 间 互相 隔离 、 
限制 网 络 互 访 ,以 此 来 保护 s 
2. 防火 墙 大 致 可 以 分 为 3 类 ,分 别 是 、 和 5 
3. 是 Linux 核心 中 的 一 个 通用 架构 , 它 提 供 了 一 系列 的 “ 表 ”(table) ,每 个 表 
由 若干 组 成 ,而 每 条 链 可 以 由 一 条 或 数 条 组 成 。 实 际 上 , Netfilter 是 
的 容器 , 表 是 链 的 容器 ,而 链 又 是 的 容器 。 
4. 接收 数据 包 时 ,Netfilter 提供 3 种 数据 包 处 理 的 功能 : 、 和  。 
5. Netfilter 设计 了 3 个 表 (table) : ¥ 及 o 
6 表 仅 用 于 网 络 地 址 转换 ,其 具体 的 动作 有 x 及 
Fs 是 Netfilter 默认 的 表 ,通常 使 用 该 表 进 行 过 滤 的 设置 , 它 包 含 以 下 内 置 链 ， 
和 a 
8. 网 络 地 址 转换 器 NAT 位 于 使 用 专用 地 址 的 和 使 用 公用 地 址 的 之 间 。 
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9. 代理 服务 器 (Proxy Server) 等 同 于 内 网 与 的 桥梁 。 普 通 的 Internet 访问 是 
一 个 典型 的 结构 。 
二 、 选 择 题 
1. 在 Linux 2.6 以 后 的 内 核 中 ,提供 TCP/IP 包 过 滤 功 能 的 软件 称 为 ( 和 
A. rarp B. route C. iptables D. filter 
2. 在 Linux 操作 系统 中 ,可 以 通过 iptables 命令 来 配置 内 核 中 集成 的 防火 墙 。 若 在 配 
置 脚本 中 添加 iptables 命令 : #iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 61. 129. 
3. 88 一 dport 80 -j DNAT 一 to -destination 192. 168. 0. 18 ,其 作用 是 ( hs 
A. 将 对 192.168.0.18 的 80 端口 的 访问 转发 到 内 网 的 61. 129. 3. 88 主机 上 
B. 将 对 61. 129. 3. 88 的 80 端口 的 访问 转发 到 内 网 的 192. 168. 0. 18 主机 上 
C. 将 192.168.0.18 的 80 端口 映射 到 内 网 的 61. 129. 3. 88 的 80 端口 
D. 禁止 对 61. 129. 3. 88 的 80 端口 的 访问 
3. 下 面 ( ) 配 置 选 项 在 squid 的 配置 文件 中 用 于 设置 管理 员 的 E-mail 地 址 。 
A. cache_effective_user B. cache_mem 
C. cache_effective_group D. cache_mgr 
4. John 计划 在 他 的 局 域 网 建立 防火 墙 .防止 Internet 直接 进入 局 域 网 ,反之 亦 然 。 在 
防火 墙 上 他 不 能 用 包 过 滤 或 SOCKS 程序 ,而 且 他 想 要 提供 给 局 域 网 用 户 仅 有 的 几 个 
Internet 服务 和 协议 。John 最 好 的 选择 是 ( )。 
A. 使 用 squid 代理 服务 器 B. NAT 
C. IP 转发 D. IP 伪装 
5. 关于 IP 伪装 的 适当 描述 是 ( Wa 
A. 它 是 一 个 转化 包 的 数据 的 工具 
B. 它 的 功能 就 像 NAT 系统 : 转换 内 部 IP 地 址 到 外 部 IP 地 址 
C. 它 是 一 个 自动 分 配 IP 地 址 的 程序 
D. 它 是 一 个 连接 内 部 网 到 Internet 的 工具 
6. 不 属于 iptables 操作 的 是 ( Xe 
A. ACCEPT B. DROP 或 REJECT 
C. LOG D. KILL 
7. 假设 要 控制 来 自 IP 地 址 199. 88. 77. 66 的 ping 命令 ,可 用 的 iptables 命令 是 ( 。”)。 
A. iptables -a INPUT -s 199. 88. 77. 66 -p icmp -} DROP 
B. iptables -A INPUT -s 199. 88. 77. 66 -p icmp -} DROP 
C. iptables -A input -s 199. 88.77.66 -p icmp -j drop 
D. iptables -A input -S 199. 88.77. 66 -P icmp -J DROP 
8. 如 果 想 要 防止 199. 88. 77. 0/24 网 络 用 TCP 分 组 连接 端口 21, iptables 的 命令 是 (。”)。 
A. iptables -A FORWARD -s 199. 88. 77.0/24 -p tcp —dport 21 -j REJECT 
B. iptables -A FORWARD -s 199. 88.77.0/24 -p tcp -dport 21 -j REJECT 
C. iptables -a forward -s 199. 88. 77.0/24 -p tcp 一 dport 21 -j reject 
D. iptables -A FORWARD -s 199. 88.77.0/24 -p tcp -dport 21 - DROP 
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三 、 简 答题 
. 简 述 防火 墙 的 概念 、 分 类 及 作用 。 
. 简 述 代理 服务 器 的 工作 原理 。 
. 在 CentOS 7 系统 中 ,iptables 服务 是 否 已 经 被 firewalld 服务 彻底 取代 ? 
. 简 述 防火 墙 策略 规则 中 DROP 和 REJECT 的 不 同 之 处 。 
. 如 何 把 iptables 服务 的 INPUT 规则 链 默认 策略 设置 为 DROP? 
. 怎样 编写 一 条 防火 墙 策略 规则 ,使 得 iptables 服务 可 以 禁止 源 自 192. 168. 10. 0/24 
网 段 的 流量 访问 本 机 的 sshd 服务 (22 端口 )? 
7. 简 述 firewalld 中 区 域 的 作用 。 
8. 如 何在 firewalld 中 把 默认 的 区 域 设 置 为 dmz? 
9. 如 何 让 firewalld 中 以 永久 (Permanent) 模 式 配置 的 防火 墙 策略 规则 立即 生效 ? 
10. 使 用 SNAT 技术 的 目的 是 什么 ? 


13.8 项 目 实录 


13. 8.1 项 目 实录 一 : 配置 与 管理 iptables 防火 墙 


1. 观看 视频 

做 实 训 前 请 扫描 二 维 码 观看 视频 。 

2. 项 目 背景 

假如 某 公 司 需要 Internet 接 人 ,由 ISP 分 配 IP 地 址 202. 112. 113， 十 
112。 采 用 iptables 作为 NAT 服务 器 接 人 网 络 ,内 部 采用 192. 168.1.0/24 回 咨 
地 址 ,外 部 采用 202. 112. 113. 112 地 址 。 为 确保 安全 需要 配置 防火 墙 功 
能 ,要 求 内 部 仅 能 够 访问 Web、DNS 及 Mail 3 台 服 务 器 ;内 部 Web 服务 器 192. 168. 1. 2 通 
过 端口 映像 方式 对 外 提供 服务 。 网 络 拓扑 如 图 13-12 所 示 。 


2 9 
= 


防火 墙 /NAT | 


加 鲍 电 


DNS 服务 器 E-mail 服务 器 。 Web 服务 器 
图 13-12 配置 netfilter/iptables 网 络 拓扑 


5 


313 


图。 Linux 操作 系统 与 实 训 (CentOS 7.4&RHEL7.4) 


3. 深度 思考 

在 观看 视频 时 思考 以 下 几 个 问题 。 

(1) 为 何 要 设置 两 块 网 卡 的 IP 地 址 ? 如 何 设置 网 卡 的 默认 网 关 ? 
(2) 为 何 要 清除 默认 规则 ? 

(3) 如 何 接收 或 拒绝 TCP .UDP 的 某 些 端口 ? 

(4) 如 何 屏蔽 ping 命令 ? 如 何 屏蔽 扫描 信息 ? 

(5) 如 何 使 用 SNAT 实现 内 网 访问 互联 网 ? 如 何 实现 透明 代理 ? 
(6) 在 客户 端 如 何 设 置 DNS 服务 器 地 址 ? 

(7) 谈 谈 firewalld 与 iptables 的 不 用 使 用 方法 。 

(8) iptables 中 的 -A 和 -I 两 个 参数 有 何 区 别 ? 举例 说 明 。 


4. 做 一 做 
根据 项 目 实录 视频 进行 项 目的 实 训 , 检 查 学 习 效果 。 


13.8.2 项 目 实录 二 : 配置 与 管理 squid 代理 服务 器 


1. 观看 视频 
做 实 训 前 请 扫描 二 维 码 观 看 视频 。 


2. 项 目 背景 

如 图 13-13 所 示 ,公司 用 squid 作 代理 服务 器 (内 网 IP 地 址 为 192. 168. 1. 1) ,公司 所 用 
IP 地 址 段 为 192. 168. 1. 0/24 ,并 且 和 希望 用 8080 作为 代理 端口 。 项 目 需求 如 下 。 

(1) 客户 端 在 设置 代理 服务 器 地 址 和 端口 的 情况 下 能 够 访问 互联 网 上 的 Web 服务 器 。 

(2) 客户 端 不 需要 设置 代理 服务 器 地 址 和 端口 就 能 够 访问 互联 网 上 的 Web 服务 器 , 即 


透明 代理 。 
(3) 配置 反 向 代理 并 测试 。 
squid 代理 服务 器 
Internet 
外 网 卡 : 218.29.30.31/24 
内 网 卡 : 192.168.1.1/24 
www.163.com 
218.29.30.29/24 
局 域 网 PC 
192.168.1.100/24 
图 13-13 ”代理 服务 的 典型 应 用 环境 
3. 做 一 做 


根据 项 目 要 求 及 视频 内 容 , 完 成 项 目 。 
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13.9 实 训 : Linux 防火 墙 的 配置 


1. 实 训 目 的 及 内 容 

(1) 掌握 iptables 防火 墙 的 配置 。 
(2) 掌握 NAT 的 实现 方法 。 

(3) 掌握 squid 代理 服务 器 的 配置 。 
(4) 掌握 透明 代理 的 实现 方法 。 


2. 实 训 环境 

(1) 网 络 中 包括 子 网 A 和 子 网 B。 子 网 A 的 网 络 地 址 为 192. 168. 1. 0/24 ,网 关 为 
hostA。hostA 有 eth0 和 ethl 两 个 接口 ,eth0 连接 子 网 A,IP 地 址 为 192. 168. 1. 1 ,ethl 连 
接 外 部 网 络 ,IP 地 址 为 10.0.0. 11。 子 网 B 的 网 络 地 址 为 192. 168. 10. 0/24, 网 关 为 hostB。 
hostB 有 eth0 和 ethl 两 个 网 络 接口 ,eth0 连接 子 网 B,IP 地 址 为 192. 168. 10. 1 ,ethl 连接 
外 部 网 络 ,IP 地 址 为 10. 0. 0. 101。hostA 和 hostB 构成 子 网 C ,网络 地 址 是 10. 0. 0. 0/24 , 通 
过 集线器 连接 到 hostC ,然后 通过 hostC 连接 Internet。hostC 的 内 部 网 络 接口 为 eth0,IP 
地 址 为 10. 0. 0. 1。 

(2) 在 hostA、hostB 和 hostC 上 都 已 经 安装 好 Linux 系统 ,并 且 在 hostC 上 设置 squid 
代理 服务 器 。 


3. 实 训 练习 

(1) 配置 路 由 器 

在 hostA .hostB 和 hostC 上 配置 路 由 器 ,使 子 网 A 和 子 网 B 之 间 能 够 互相 通信 ,同时 子 
网 A 和子 网 B 内 的 主机 也 能 够 和 hostC 相互 通信 。 

(2) 配置 防火 墙 

在 hostA 上 用 iptables 配置 防火 墙 ,实现 如 下 规则 。 

QO@ 允许 转发 数据 包 , 保 证 hostA 的 路 由 功能 。 

@ 允许 所 有 来 自 子 网 A 内 的 数据 包 通 过 。 

@ 允许 子 网 A 内 的 主机 对 外 发 出 请 求 后 返回 的 TCP 数据 包 进入 子 网 A。 

@ 只 允许 子 网 A 外 的 客户 机 连接 子 网 A 内 的 客户 机 的 22 号 TCP 端口 ,也 就 是 只 允许 
子 网 A 外 的 主机 对 子 网 A 内 的 主机 进行 SSH 连接 。 

@ 禁止 子 网 A 外 的 主机 ping 子 网 A 内 的 主机 ,也 就 是 禁止 子 网 A 外 的 ICMP 包 进 入 
子 网 A。 

(3) 配置 NAT 

重新 配置 hostA 和 hostB 上 的 路 由 规则 和 防火 墙 规 则 ,启用 IP 伪装 功能 。 在 hostA 上 
对 子 网 A 内 的 IP 地 址 进行 伪装 ,实现 NAT, 使 子 网 A 内 的 主机 能 够 访问 外 部 网 络 。 

(4) 配置 squid 及 透明 代理 

在 hostC 上 设置 防火 墙 规则 ,把 来 自 子 网 A 和 子 网 B 中 的 客户 机 发 往 Internet 端口 为 
80 的 数据 包 , 重 定向 到 hostC 的 squid 的 端口 ,实现 透明 代理 。 


4. 实 训 报告 
按 要 求 完成 实 训 报告 。 
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